Berita buruk datang lagi, baru-baru ini merebak ransomware Robinhood. Ransomware adalah salah satu masalah kejahatan dunia maya yang paling ditakuti di era modern. Bahkan pada tahun ini meningkat 41% dibandingkan tahun lalu. Saya sendiri pernah menangani serangan “makhluk” jahat ini, dan sampai artikel ini ditulis, tidak ada yang bisa saya lakukan terhadap Heroset.
Gagasan malware yang mengacak file Anda dan menuntut uang tebusan untuk mendapatkannya kembali bukanlah hal baru. Serangan pertama yang meluas terjadi puluhan tahun silam tepatnya pada tahun 1989. Namun skala ancamannya telah berubah secara dramatis dalam beberapa tahun terakhir.
Hingga sekitar 2010 atau 2011, ransomware tidak lebih dari sekadar keingintahuan lab. Tetapi kemudian para penjahat akhirnya menemukan cara untuk mendapatkan uang dari korban mereka yang putus asa. Ini berkat anonimitas yang diberikan oleh Dark Web dan pembayaran yang tidak dapat dilacak yang ditawarkan melalui penggunaan cryptocurrency.
Penjahat seperti geng di belakang Cryptolocker ransomware mampu menghasilkan jutaan, bahkan mungkin ratusan juta dolar. Mereka menginfeksi ratusan ribu pengguna, dan kemudian meminta $ 300 tiap membuka masing-masing file pengguna pengguna yang terkunci.
Tetapi pendekatan itu telah berubah baru-baru ini, penjahat ransomware melakukan serangan lebih sedikit tetapi dengan tebusan jauh lebih besar.
Saat ini, operasi ransomware sangat sering ditujukan untuk seluruh jaringan, atau bahkan pada kumpulan jaringan yang dikelola secara terpusat.
Idenya adalah bahwa penjahat akan mengacak ratusan atau ribuan komputer dalam sebuah serangan. Tetapi bukannya memeras pemilik setiap komputer untuk membayar uang tebusan, mereka hanya memeras operator jaringan untuk membayar jumlah yang sangat besar.
Jumlah itu biasanya berkisar dari $ 50.000 hingga $ 5.000.000. Para korban kadang-kadang tidak memiliki pilihan selain membayar karena seluruh bisnis mereka terhenti, tidak hanya beberapa komputer.
Ransomware Robinhood: Serangan di seluruh jaringan
Berita baiknya adalah untuk melakukan serangan di seluruh jaringan, penjahat harus menerobos ke jaringan Anda terlebih dahulu.
Mereka juga biasanya membutuhkan kontrol penuh atas satu atau lebih komputer yang akan digunakan untuk pengintaian mereka; mereka perlu mempromosikan diri mereka ke administrator sistem untuk menyerang semua perangkat Anda; dan mereka perlu menghabiskan waktu memetakan jaringan Anda dan mengatur serangan akhir.
Dengan kata lain, dalam proses bersiap-siap menghadapi kemungkinan bayaran jutaan dolar, para penjahat harus mengambil risiko ketahuan, ditolak, dan pergi tanpa hasil sama sekali.
Berita buruknya adalah jika para penjahat benar-benar masuk dan menjadikan diri mereka sysdamin, mereka telah mengubah diri mereka menjadi apa yang Anda sebut “departemen TI alternatif”. Dengan begitu mereka dapat mengambil langkah-langkah untuk mengurangi risiko ketahuan.
Penjahat juga dapat mencoba untuk menonaktifkan perlindungan anti-invasi seluruh sistem yang telah Anda tempatkan – mereka adalah administrator. Jadi secara teori mereka dapat mematikan, mengatur ulang atau mengkonfigurasi ulang apa pun dan semua yang telah Anda lakukan sebelumnya untuk mengunci jaringan Anda.
Namun, bahkan dengan kekuatan administrasi domain, tidaklah mudah untuk mengambil alih semuanya.
Sebagai contoh, banyak produk keamanan yang membuatnya sulit untuk menonaktifkan perangkat lunak, setidaknya tanpa meninggalkan jejak yang cukup terlihat.
Penambalan yang tepat mempersulit para penjahat untuk menyelinap di balik perlindungan keamanan. Para penyerang mungkin mengeksploitasi kerentanan perangkat lunak.
Demikian juga, layanan sistem sering menyimpan file penting dalam penggunaan permanen. Ini berarti bahwa mereka tidak dapat dengan mudah dihapus atau dimodifikasi. Oleh karena itu, sulit bagi penjahat untuk mengacak mereka dalam serangan ransomware.
Itu bisa menjadi perbedaan antara permintaan tebusan yang tidak dapat Anda hindari untuk membayar, karena semuanya menjadi berantakan, dan permintaan yang bisa Anda abaikan karena data penting Anda tidak tersentuh dan kesinambungan bisnis Anda tidak terpengaruh.
Ransomware Robinhood, Bawa bug Anda sendiri!
Malware RobbinHood adalah nama yang cocok. Penjahat datang dengan jalan pintas yang membuatnya lebih mudah bagi mereka untuk melompati kerusakan sistem perlindungan Anda dan untuk mendapatkan akses bahkan ke file yang terkunci. Alih-alih memburu kerentanan yang belum diperbaiki di komputer Anda para penjahat hanya membawa bug mereka sendiri!
Cara kerjanya menarik, diceritakan dengan detail dalam laporan penelitian baru-baru ini dari SophosLabs. Secara singkat, para penjahat memasukkan driver kernel Windows yang lama dan bermasalah beserta malware mereka.
Driver itu sendiri bukan malware, tetapi merupakan komponen perangkat lunak resmi dari pembuat motherboard Gigabyte. Jadi itu ditandatangani secara digital (digitally signed) oleh vendor dan ditandai sebagai resmi oleh Microsoft sendiri.
Jadi, Windows akan memuat driver karena itu telah ditandai. Setelah itu para penjahat dapat mengeksploitasi bug pada driver yang ditandatangani untuk mengelabui Windows agar mereka memuat driver kernel mereka sendiri, tidak bertanda tangan dan jahat!
Dan driver mereka memberi mereka akses ke wilayah kernel tingkat rendah ke proses dan file sistem, yang berarti mereka dapat mematikan program yang tidak seharusnya, dan menghapus file yang biasanya dikunci.
Apa dampaknya? Perilaku kernel seperti itu dapat menyebabkan masalah, seperti program yang berhenti bekerja dengan benar, atau data yang rusak, atau bahkan – mungkin beberapa saat kemudian – Blue Screen of Death.
Pada saat Anda melihat adanya masalah yang disebabkan oleh driver jahat mereka, Anda hampir pasti akan menghadapi masalah yang jauh lebih besar. Sebagian besar – atau mungkin semua – dari file data Anda, pada sebagian besar – atau mungkin semua – dari komputer di jaringan Anda akan diacak.
Dan hanya penjahat yang memiliki kunci dekripsi untuk membuka kunci file yang diacak.
Apa yang harus dilakukan ketika ransomware Robinhood menyerang?
Untungnya, modus operandi memuat driver kernel buggy untuk memuat driver kernel jahat tidak bisa hanya dilakukan sesuka hati. Jadi trik serangan “bawa bug Anda sendiri” tidak memberikan penjahat cara lawas untuk menanamkan malware di komputer Anda kapan saja.
Penjahat memang harus menjadi administrator di jaringan Anda untuk menggunakan pengkhianatan driver kernel ini. Jadi bagaimana mencegah serangan ransomware Robinhood?
Buat pertahanan secara mendalam. Dalam serangan RobbinHood, ada banyak langkah di muka – termasuk memuat driver kernel yang mencurigakan – yang harus dilakukan oleh penjahat. Mereka perlu berhasil di setiap langkah untuk mencapai yang mereka inginkan. Sementara Anda bisa menghentikan mereka dengan memblokir hanya satu dari bahan awal.
Kontrol titik masuk Anda. Dalam banyak serangan ransomware di seluruh jaringan, para penjahat menyelinap masuk dengan menggunakan portal akses jarak jauh (terutama Windows RDP, kependekan dari Remote Desktop Protocol) yang Anda buka untuk tujuan yang sah tetapi kemudian lupa untuk mengamankan dengan benar.
Memilih otentikasi dua faktor (2FA). Banyak serangan ransomware dimungkinkan oleh kata sandi yang lemah atau mudah ditebak, atau kata sandi yang diekspos dalam pelanggaran data sebelumnya. 2FA berarti bahwa siapa pun yang masuk memerlukan kode satu kali yang berbeda setiap kali, yang memperkuat perlindungan Anda terhadap serangan peretas kata sandi.
Kunjungi kembali strategi cadangan Anda. Sangat menggoda untuk mengandalkan cadangan otomatis, seperti me-mirror file ke jaringan yang dibagikan atau menyalin file yang diubah ke penyimpanan cloud yang dapat diakses secara langsung. Tetapi penjahat ransomware hari ini berusaha keras untuk menemukan mirror atau cadangan online yang Anda miliki. Mereka menghapus cadangan ini terlebih dahulu, atau mengacaknya dengan ransomware beserta yang lainnya. Simpan juga off-line, off-site backup – penjahat tidak akan bisa mendapatkannya.
Perhatikan log Anda. Masuk ke jaringan, mempromosikan diri Anda ke administrator dan mencari alat keamanan yang sudah ada hampir selalu meninggalkan jejak. Dalam banyak serangan yang kami selidiki, para penjahat tampak jelas di belakang karena kombinasi peringatan firewall, peringatan modifikasi akun, deteksi anti-virus, dan banyak lagi. Jika Anda tidak akan melihat log Anda, Anda mungkin tidak perlu repot-repot menyimpannya di tempat pertama.
Perbaikan (patch) lebih awal dan lebih sering. Dalam hal ini, para penjahat “membawa bug mereka sendiri”, tetapi mereka tetap harus memiliki kemampuan sysadmin. Jangan membuatnya mudah bagi mereka dengan membiarkan lubang keamanan terbuka yang membantu para penjahat mendapatkan apa yang mereka butuhkan.
Artikel ransomware Robinhood ini diterjemahkan secara serampanga dari sumber. Jika ada kesalahan penerjemahan mohon bantu koreksi.