Mengapa Keamanan Siber Gagal Melawan Ransomware?

Ya, keamanan itu sulit – tidak ada yang pernah 100 persen aman dari ancaman yang mengintai di luar sana. Tapi bagaimana bisa berkali-kali, perusahaan – perusahaan besar – terus jatuh karena serangan ransomware? Mengapa kita tidak menjadi lebih baik dalam mencegahnya?

Mari kita telusuri alasan utama mengapa, dimulai dengan beberapa dasar sebelum menjadi lebih mendalam:

<

ul>

  • 2FA lagsliu

    <

    ul>iKesalahan pengguna tidak akan pernah hilangliu

    <

    ul>iAVliu

    <

    ul>i Kedaluwarsa Deteksi & keterlambatan responsliu

    <

    ul>i Deteksi “Hidup di luar negeri” gagal dicoretliu

    <

    ul>iCobalt dan alat sah lainnya yang digunakan ulangliu

    <

    ul>iKolaborasi kejahatan dunia maya adalah masterclassliu

    <

    ul>iKegagalan kebijakan publik & masalah geopolitikliu

      iBahan bakar mata uang kripto

    2FA Tidak Diimplementasikan Secara Universal

    Otentikasi dua faktor (2FA) mungkin merupakan peningkatan keamanan termudah yang dapat diterapkan organisasi, dan ini adalah salah satu solusi profesional yang paling dianjurkan oleh infosec. Meskipun demikian, kami terus melihat pelanggaran seperti Colonial Pipeline terjadi karena organisasi gagal menerapkan 2FA atau gagal sepenuhnya mengimplementasikannya.

    Apa pun yang memerlukan nama pengguna dan kata sandi untuk mengakses harus mengaktifkan 2FA. Itu berarti email, aplikasi bisnis, penerapan cloud, VPN – apa pun dengan kredensial masuk.

    Kesalahan Pengguna Tidak Akan Pernah Berhenti – Mengapa Berpura-pura Jika Tidak? untuk melakukan yang lebih baik?

    Attackers melakukan pengintaian terhadap target mereka dan menyesuaikan teknik mereka untuk sukses. Dan banyak alur kerja karyawan secara harfiah merupakan studi kasus tentang target serangan phishing. Lagi pula, bagaimana Pat dalam akuntansi – yang tugasnya membuka PDF dan memproses pesanan pembelian – diharapkan mengetahui PDF mana yang aman dan mana yang dapat berisi malware?

    Kami menempatkan harapan yang tidak realistis pada pengguna, kemudian bertindak terkejut dan menyalahkan mereka ketika mereka membuat kesalahan yang sama banyak pro infosec telah membuat diri mereka sendiri. Dave Aitel memukul kepala bertahun-tahun yang lalu ketika dia berpendapat bahwa karyawan tidak dapat diharapkan untuk tidak mengacau. Karyawan selalu akan membuat kesalahan, jadi mengapa kita berpura-pura itu akan berubah?Solusi

    Antivirus Mengandalkan Logika Deteksi yang Mudah Dilewati

    Antivirus, perangkat lunak keamanan tertua yang ada, telah berkembang pesat dalam 20 tahun terakhir. Namun, banyak solusi AV masih mengandalkan sistem berbasis tanda tangan kuno untuk mendeteksi perangkat lunak berbahaya.

    Mendeteksi kode berbahaya dengan AV didasarkan pada memiliki tanda tangan biner dari kode, atau hash file, dan ini hanya berfungsi jika kode tidak berubah . Mengganti nama fungsi di dalam kode sebelum mengompilasinya atau memindahkan blok kode di dalam kode dapat membuat deteksi yang sebelumnya layak menjadi tidak berguna.

    AV tradisional tidak “meledakkan” malware – yaitu, menjalankan kode dalam kotak pasir yang dilindungi – jadi meskipun perilakunya malware akan identik terlepas dari tanda tangannya, ini sangat sulit untuk dideteksi.

    Masalah ini sangat sistemik sehingga kerangka kerja seperti Invoke-Obfuscation ada untuk membantu tim merah – dan selanjutnya pelaku jahat – melewati solusi antivirus.

    EDR/XDR/MDR Solutions Rawan terhadap Penundaan

    Segudang solusi titik akhir “DR” (deteksi dan respons) jauh lebih kuat daripada antivirus, tetapi mereka juga memiliki batasannya.

    Karena logika untuk memproses peristiwa titik akhir berada di cloud, itu berarti mungkin ada penundaan beberapa detik hingga beberapa menit antara peristiwa yang terjadi dan kedatangannya di konsol administrator. Hal ini membuat mereka rentan terhadap eksekusi ransomware yang hilang.

    Ketika muatan ransomware diaktifkan, seluruh jaringan dapat dimatikan dalam hitungan detik, mungkin menit. Operator Ransomware akan sering menampilkan muatan ransomware aktual di semua sistem di jaringan sebelumnya, sehingga muatan dieksekusi hampir bersamaan di semua sistem dalam organisasi, dan jauh lebih cepat daripada yang dapat dideteksi oleh solusi DR.

    Perlu diperhatikan bahwa solusi DR+AV dari vendor yang sama sering kali datang dengan opsi ‘blokir’ yang memungkinkan administrator mengisolasi/mengarantina mesin jika muatan berbahaya atau urutan tindakan terdeteksi. Namun, dalam praktiknya, opsi ini umumnya dinonaktifkan secara default dan – karena kekhawatiran akan berdampak pada produktivitas pengguna karena positif palsu – opsi ini sering kali dinonaktifkan.

    LOLBin Teknik Lebih Sulit Dideteksi

    Alasan umum lainnya mengapa ransomware berhasil adalah karena operator telah belajar menggunakan teknik yang disebut “living off the land binari” (LOLBins).

    Ini adalah alat administrasi normal, umumnya di Microsoft Windows, tetapi semua sistem operasi modern memiliki beberapa. Alat-alat ini memiliki tujuan yang sah dan sah dan digunakan setiap hari oleh administrator, yang membuat deteksi penggunaan alat-alat ini menjadi sangat sulit. Misalnya, kebocoran baru-baru ini dari buku pedoman grup Conti menunjukkan ketergantungan yang tinggi pada perangkat administratif standar Windows.

    Ini sepele untuk solusi antivirus dan DR untuk menangkap alat yang dikembangkan oleh aktor yang dipesan lebih dahulu, tetapi hampir tidak mungkin untuk menentukan apakah perintah untuk mencari Domain lokal Pengontrol dan siapa Administrator Domain dilakukan sebagai bagian dari pemecahan masalah konektivitas jaringan atau pendahulu gerakan lateral. Untuk alasan ini, sebagian besar vendor DR tidak memperingatkan penggunaan LOLBin ini, atau waspada dengan tingkat keparahan yang rendah karena perintah ini memiliki tingkat positif palsu yang sangat tinggi saat digunakan untuk mendeteksi aktivitas berbahaya.

    Dalam beberapa kasus, alat LOLBin dapat dimanfaatkan untuk fungsionalitas tambahan yang ditambahkan ke kode karena pengembang atau pelanggan pada satu titik menginginkan alat administratif mereka memiliki kemampuan untuk mengunduh file arbitrer dari internet, atau alat itu sendiri dapat memulai aplikasi sekunder.

    Hal ini dilakukan untuk melewati keamanan kontrol yang disebut Application Allow-Listing. Daftar yang diizinkan memberi tahu sistem operasi untuk tidak menjalankan perangkat lunak apa pun kecuali telah ditandatangani secara digital oleh vendor tepercaya (Apple, Google, Microsoft, dll.). Namun, dengan mengelabui aplikasi yang sah dan ditandatangani untuk membuka aplikasi yang tidak dipercaya dan tidak ditandatangani, penyerang dapat melewati kontrol keamanan ini dengan tidak lebih dari aplikasi default yang merupakan bagian dari sistem operasi.

    Alat Serangan yang Tersedia Secara Gratis Telah Menurunkan Standar untuk Grup Ransomware tidak pernah lebih baik dalam hal alat yang tersedia secara bebas, seperti Metasploit dan Mimikatz, atau salinan bajakan Cobalt Strike.

    Apakah mereka memerlukan perangkat phishing, kerangka kerja kebingungan, alat akses awal, infrastruktur perintah-dan-kontrol (C2), penyalahgunaan kredensial alat atau bahkan muatan ransomware sumber terbuka, hampir semua ini dapat ditemukan secara gratis di GitHub. Kebanyakan orang menganggap aktor jahat bersembunyi di Dark Web, menjual alat untuk Bitcoin hanya ke topi hitam yang paling teduh, tetapi ini tidak benar. bahwa “pembela perlu memahami taktik ini.” Tapi ini menutupi fakta bahwa kerangka serangan juga membantu penyerang dan mempersulit pembela bertahan.

    Meskipun benar bahwa pembela memang perlu memahami taktik ofensif, pada kenyataannya, sebagian besar pembela terlalu sibuk dalam pekerjaan sehari-hari memiliki waktu untuk menguji setiap kerangka kerja ofensif dan kemudian mengembangkan panduan defensif.

    Sebagian besar alat serangan ini didokumentasikan dengan baik dalam penggunaannya, tetapi tidak mendeteksinya. Dan sementara penghalang untuk masuknya penyerang telah turun menjadi “dapatkah Anda menggunakan Google, GitHub dan memiliki keterampilan komputer dasar,” para pembela harus membayar sejumlah besar uang untuk perkakas dan peralatan kompleks yang mungkin hanya berkinerja baik dalam skenario pengujian terkontrol. Grup

    Ransomware Berkolaborasi Lebih Baik daripada Industri InfoSec

    Kartel Ransomware ada karena mereka berkolaborasi. Faktanya, sebagian besar industri keamanan setuju bahwa aktor jahat benar-benar berkolaborasi lebih baik daripada tim dan organisasi yang mencoba menghentikan mereka.

    Dengan menyebarkan pekerjaan ke beberapa kelompok kriminal, taktik, teknik, dan prosedur (TTP) menjadi lebih sulit untuk diatribusikan untuk setiap aktor tunggal, ini dapat mengaburkan niat aktor jahat dan memungkinkan kartel ransomware-as-a-service (RaaS) untuk memprioritaskan target bernilai tinggi.

    Model pembagian keuntungan RaaS bekerja dengan baik untuk memotivasi para aktor ini untuk terus-menerus temukan target baru, sambil mengalihkan pekerjaan berat ke profesional yang lebih canggih. Metode kolaborasi ini mengarah pada pembagian kerja yang sangat efektif, dengan kelompok-kelompok kriminal yang mencari akses awal, dan mengharuskan afiliasi mereka untuk memilih organisasi bernilai tinggi dan bernilai tinggi yang lebih mungkin membayar uang tebusan daripada sebuah keluarga kecil. bisnis yang dimiliki (meskipun yang terakhir jelas tidak kebal).

    Setelah penyerang menentukan bisnis yang mereka pengaruhi dan nilai perusahaan, mereka akan menetapkan uang tebusan untuk sesuatu yang dapat dibeli oleh korban. Serangan yang merugikan satu perusahaan $10.000 mungkin merugikan perusahaan lain $10 juta, dan serangan itu akan menggunakan alat yang sama persis, alur serangan, broker akses, dan payload ransomware.

    Kurangnya Respons Terkoordinasi & Strategi di Sektor Swasta & Publik

    Ransomware bukanlah hal baru ancaman, tetapi menjadi semakin mudah untuk dicapai, dibayar, dan lolos. Sebagian besar masalahnya ada di tingkat sektor publik – selama bertahun-tahun, tidak ada kebijakan, arahan, atau perencanaan strategis yang jelas tentang bagaimana pemerintah federal harus mengatasi serangan ini. Kami berjuang untuk mengembangkan kebijakan yang konsisten untuk pencegahan, serta untuk tanggapan.

    Jadi, banyak bisnis yang terkena tidak memiliki jalan lain kecuali membayar uang tebusan.

    Penuntutan yang ditargetkan oleh pemerintah AS terhadap individu hanya berdampak kecil jika ada atau kegiatan negara-bangsa. Dan koordinasi sektor publik/swasta sangat kurang; baru-baru ini menjadi prioritas yang lebih besar.

    Teka-teki Geopolitik

    Masalah kebijakan publik yang disebutkan di atas diperburuk oleh fakta bahwa geng ransomware sering beroperasi di negara-negara di luar yurisdiksi AS dan tanpa perjanjian ekstradisi AS.

    Negara-negara seperti Rusia telah menjelaskan bahwa mereka akan melakukannya tidak mengekstradisi aktor jahat dari negara mereka, kecuali jika itu adalah bagian dari kesepakatan yang jauh lebih besar dengan AS (dan strategi geopolitik), mereka juga tidak akan mengambil tindakan penegakan hukum domestik kecuali para aktor ini menyerang bisnis Rusia. Ini berarti penjahat pada dasarnya bebas untuk beroperasi – tanpa hambatan dan dengan kekebalan hukum.

    Inilah sebabnya sebagian besar muatan ransomware memeriksa bahasa Rusia dan negara yang berbatasan yang digunakan oleh sistem operasi dan segera, tanpa bahaya, merusak diri sendiri jika mereka mendeteksi diri mereka berjalan pada suatu sistem di negara di mana sebuah serangan dapat memicu kemarahan pemerintah Rusia.

    Aspek geopolitik dari masalah ini tidak sepele, bahkan jika dapat diatasi. Internet tidak memiliki batas, dan sementara penyerang dapat memutuskan untuk mengaburkan lokasi mereka dan meniru penyerang yang berbasis di Rusia, tidak ada cara untuk menentukan dengan pasti bahwa serangan tersebut berasal dari dalam perbatasan Rusia. Hal ini membuat metode tradisional pemerintah untuk membengkokkan suatu negara sesuai keinginan mereka – seperti sanksi, embargo, kenaikan pajak impor, dll. – cara yang tidak layak untuk menimbulkan konsekuensi.

    Cryptocurrency Mendorong Seluruh Industri

    Cryptocurrency akan diingat karena dua hal: Memfasilitasi ransomware dan meningkatkan CO2 secara eksponensial keluaran. Dalam semua keseriusan, tanpa ekosistem cryptocurrency yang kuat, geng ransomware akan mati kelaparan.

    Cryptocurrency mendorong seluruh industri kriminal, karena menyediakan kerangka keuangan yang melewati sistem keuangan global yang dikendalikan AS, seringkali sulit dilacak (meskipun pembayaran tebusan sering diminta dalam Bitcoin, mereka kemudian ditransfer ke mata uang kripto yang berbeda dan tidak dapat dilacak sebelum menarik dana) dan dengan mudah melintasi batas internasional.

    Meskipun Departemen Keuangan AS baru-baru ini memberikan sanksi kepada pertukaran mata uang kripto SUEX karena dugaan keterlibatannya dalam kejahatan ransomware, tindakan ini hanyalah setetes air di lautan. Kelompok-kelompok ini juga dapat berpindah ke bursa yang berbeda, memerlukan transaksi langsung dari korban atau beralih ke mata uang kripto yang lebih sulit dilacak seperti Monero.

    bisnis (crypto atau lainnya) yang memungkinkan transaksi dan konversi ini.

    Apa yang Harus Dilakukan Tentang Ransomware Scourge

    Sayangnya, tidak ada peluru perak untuk menghentikan ancaman eksistensial ransomware terhadap komputasi, infrastruktur penting, dan dunia tempat kita tinggal yang semakin saling terhubung.

    Pengguna dan organisasi harus selalu waspada, mengadopsi pendekatan keamanan berlapis-lapis [beberapa ide untuk menyusun strategi dapat ditemukan di sini — Ed.], dan memahami bahwa deteksi dini dan perbaikan segera atas pelanggaran apa pun – sekecil apa pun – adalah pendekatan yang jauh lebih ekonomis daripada the alternative.

    Nate Warfield adalah CTO di Prevailion dan mantan Peneliti Microsoft.

    Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi situs mikro kami.
    Tulis komentar
    Bagikan artikel ini:

  • InfoSec Insiderliu

    <

    ul>iMalwareliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...