JAKARTA (IndoTelko) - Lanskap ransomware telah bergeser secara dramatis pada tahun 2017 dan organisasi menanggung beban kerusakan yang disebabkan oleh ancaman baru yang bisa menyebar dengan sendirinya seperti WannaCry dan Petya.
Saat ransomware telah lama menjadi salah satu ancaman siber utama bagi para pebisnis, jumlah ancaman pada beberapa bulan terakhir menyatakan bahwa organisasi telah menghadapi ancaman lebih parah dari sebelumnya. Riset terbaru Symantec mengenai ransomware telah menemukan bahwa bisnis merupakan korban utama WannaCry dan Petya, dengan jaringan perusahaan menjadi tempat berkembang biak yang ideal untuk generasi baru ancaman yang bisa menyebarkan diri sendiri ini.
Penelitian Symantec menemukan bahwa jumlah infeksi ransomware secara keseluruhan terus berkembang. Selama enam bulan pertama tahun 2017, Symantec memblokir lebih dari 319.000 infeksi ransomware.
Jika tingkat infeksi ini berlanjut selama satu tahun penuh, 2017 akan mengalami peningkatan yang signifikan dari tahun 2016, dengan total 470.000 infeksi yang diblokir. Salah satu yang menyebabkan peningkatan ini adalah lonjakan infeksi yang terblokir selama bulan Mei dan Juni 2017, bulan-bulan ketika wabah WannaCry dan Petya terjadi.
Serangan ransomware meningkat pada paruh pertama 2017, diakibatkan oleh #WannaCry and #Petya
Ancaman Baru
Tahun ini adalah tahun kedatangan generasi baru ransomware yang bisa menyebar sendiri. WannaCry, yang merupakan ransomware pertama yang muncul, menyebabkan kepanikan global karena kemampuannya menyebarkan diri sendiri ke jaringan organisasi yang terinfeksi dan kemudian menyebar ke organisasi lainnya melalui internet. Petya menirukan beberapa teknik dari WannaCry untuk menyebarkan dirinya ke seluruh jaringan.
Hal yang memungkinkan WannaCry menyebar dengan sangat cepat adalah pengembangnya yang menyertakan “EternalBlue” yang bocor ke dalam kodenya. Kerentanan dalam implementasi Windows di protokol Server Message Block (SMB) (CVE-2017-0144) telah ditambal atau dipatch dua bulan sebelumnya. Namun masih ada komputer yang online yang tidak mendapatkan patch sehingga WannaCry bisa menyebar dengan cepat. EternalBlue memungkinkan WannaCry bekerja seperti worm, menyebarkan dirinya ke komputer lain yang tidak di patched di jaringan lokal dan di internet dengan memindai alamat IP secara acak dalam upaya menemukan komputer rentan lainnya.
Enam minggu kemudian, variasi baru Petya mengadopsi taktik yang sama, menggunakan EternalBlue sebagai mekanisme penyebaran, serta menambahkan teknik penyebaran jaringan SMB lainnya, yang berarti ini bisa menyebar di dalam organisasi ke komputer yang telah dipatched terhadap EternalBlue. Perbedaan lain dari WannaCry adalah bahwa Petya jauh lebih ditargetkan, dikonfigurasi terutama untuk menyerang organisasi di Ukraina, meskipun organisasi lain di negara lain juga terpengaruh.
Target
Dampak dari WannaCry dan Petya adalah kemungkinan besar akan ada lebih banyak penyerang yang mencoba meniru taktik yang digunakan dengan menggunakan ransomware sebagai worm. Mekanisme propagasi yang digunakan oleh keluarga ransomware memungkinkan ancaman menyebar dengan cepat ke seluruh jaringan komputer. Banyak komputer konsumen tidak terhubung ke jaringan, tidak seperti yang ditemukan di organisasi.
Sementara WannaCry dan Petya juga memiliki kemampuan untuk menyebar ke internet ke komputer rentan lainnya, sarana transmisi ini kembali mempengaruhi organisasi lain. Sebagian besar router internet rumahan akan memblokir upaya infeksi yang melibatkan eksploitasi EternalBlue.
Dampak WannaCry dan Petya yang tidak sepadan terhadap organisasi dapat dilihat dari statistik infeksi. Selama tahun 2015 dan 2016, bisnis menyumbang antara 29 dan 30 persen infeksi ransomware. Angka itu melonjak hingga 42 persen pada paruh pertama tahun 2017, dengan lonjakan infeksi bisnis yang besar selama bulan Mei dan Juni, bulan penyebaran WannaCry dan Petya.
Selama 6 bulan pertama tahun 2017 bisnis menyumbang 42% dari semua infeksi #ransomware
Organisasi perlu mempersiapkan diri menghadapi ancaman dari ransomware. Wabah Petya menunjukkan bahwa bahkan tanpa EternalBlue, penyerang dapat membuat worm seperti ransomware yang mampu menyebar ke seluruh jaringan. Meskipun membutuhkan keterampilan lebih besar dan penggunaan alat tambahan, seperti pencuri kredensial, potensi imbalannya jauh lebih besar.
Tuntutan
Selama enam bulan pertama tahun 2017, rata-rata permintaan uang tebusan dari ransomware baru sebesar US$544. Hal ini mengikuti dari periode inflasi yang cepat dalam tuntutan tebusan. Selama 2016, rata-rata permintaan tebusan yang terlihat pada ransomware baru meningkat secara dramatis, meningkat lebih dari tiga kali lipat dari $294 menjadi $1.077.
Hal ini bisa menunjukkan bahwa setelah masa trial and error pada tahun 2016, banyak penyerang telah mengajukan permintaan tebusan sebesar $500 sebagai jumlah paling tepat untuk permintaan tebusan. Walaupun jumlahnya tidak terdengar seperti besar bagi sebuah organisasi, kebanyakan tuntutan tebusan adalah untuk satu komputer yang terinfeksi. Jika sebuah organisasi memiliki puluhan atau ratusan komputer yang terinfeksi, harga yang diminta oleh penyerang akan bertambah dengan cepat.
Pertahanan
WannaCry dan Petya membuktikan bahwa ransomware bukanlah ancaman yang dapat diprediksi dan organisasi yang sudah merasa puas dengan keamanannya akan terserang. Membangun pertahanan yang berlapis-lapis memastikan bahwa setiap titik kegagalan diimbangi oleh praktik pertahanan lainnya.
Hal ini harus termasuk tidak hanya menambal kerentanan dengan teratur dan memastikan sistem penting memiliki back up namun juga menggunakan sistem pertahanan ganda, berlapis, dan saling mendukung untuk menjaga dari kegagalan satu titik dengan teknologi atau metode perlindungan tertentu.
Mengadopsi pendekatan keamanan berlapis untuk meminimalkan kemungkinan infeksi. Symantec memiliki strategi komprehensif yang melindungi dari ransomware dalam tiga tahap.
Mencegah: Keamanan email, Intrusion Prevention, Download Insight, Browser Protection, Proactive Exploit Protection (PEP)
Isi: Mesin antivirus berbasis tanda tangan canggih dengan teknologi heuristik machine learning, termasuk SONAR dan Sapient
Menanggapi: Tim Respon Insiden Khusus untuk membantu organisasi merespons dan pulih dari serangan ransomware.(ak)