banner large

Kaseya, satu tahun kemudian: Apa yang telah kita pelajari?

Comment
X
Share

Kami sangat antusias untuk menghadirkan Transform 2022 kembali secara langsung pada 19 Juli dan 20 – 28 Juli secara virtual. Bergabunglah dengan AI dan pemimpin data untuk pembicaraan yang berwawasan luas dan peluang jaringan yang menarik. Daftar hari ini!


Catatan ransomware memberi tahu Anda bahwa file Anda disandera dan “dienkripsi, dan saat ini tidak tersedia.” Diduga, semua ekstensi file telah diubah menjadi .csruj. Pembajak menuntut pembayaran sebagai imbalan atas kunci dekripsi. Satu “gratis” ditawarkan: kunci dekripsi file sekali pakai sebagai isyarat itikad baik untuk membuktikan bahwa kunci dekripsi berfungsi.

Operator menambahkan (ejaan tidak berubah):

“Itu hanya bisnis. Kami sama sekali tidak peduli dengan Anda dan transaksi Anda, kecuali mendapatkan keuntungan. Jika kita tidak melakukan pekerjaan dan kewajiban kita — tidak ada yang tidak akan bekerja sama dengan kita. Itu bukan untuk kepentingan kita. Jika Anda tidak mau bekerja sama dengan layanan kami – bagi kami, itu tidak masalah. Tetapi Anda akan kehilangan waktu dan data Anda, karena hanya kami yang memiliki kunci pribadi. Dalam praktiknya – waktu jauh lebih berharga daripada uang.”

Ikhtisar serangan ransomware Kaseya

Pada hari Jumat, 2 Juli 2021, Kaseya Limited, pengembang perangkat lunak untuk infrastruktur TI yang menyediakan pemantauan manajemen jarak jauh (RMM), menemukan bahwa mereka sedang diserang dan mematikan server mereka. Apa yang terjadi kemudian dijelaskan oleh Kaseya dan FBI sebagai “serangan ransomware rantai pasokan yang terkoordinasi dengan baik yang memanfaatkan kerentanan dalam perangkat lunak Kaseya terhadap beberapa MSP (penyedia layanan terkelola) dan pelanggan mereka.”

Secara khusus, penyerang merilis pembaruan perangkat lunak palsu melalui kerentanan bypass otentikasi yang menyebarkan malware melalui klien MSP Kaseya ke perusahaan hilir mereka.

Kelompok REvil yang berbasis di Rusia mengklaim bertanggung jawab pada 5 Juli 2021, dan menuntut US$70 juta sebagai imbalan untuk mendekripsi semua sistem yang terpengaruh. Tetapi pada saat permintaan tebusan REvil mencapai korbannya, banyak perusahaan telah memulihkan sistem mereka dari cadangan. Beberapa korban telah menegosiasikan uang tebusan mereka sendiri, dilaporkan membayar antara $40.000 dan $220.000.

Kaseya mengumumkan pada 23 Juli 2021, bahwa mereka telah memperoleh kunci dekripsi universal dari “pihak ketiga tepercaya” yang tidak disebutkan namanya dan menawarkannya kepada pelanggan.

Seperti dilansir Reuters pada 21 Oktober 2021, server REvil diretas dan dipaksa offline. Tom Kellermann, kepala keamanan siber VMware, mengatakan, “FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini.” Kellermann, seorang penasihat US Secret Service pada investigasi kejahatan dunia maya, menambahkan, “REvil berada di urutan teratas daftar.”

Januari 2022 yang lalu, Layanan Keamanan Federal Rusia mengatakan mereka telah membongkar REvil dan mendakwa beberapa anggotanya setelah diberikan informasi oleh AS.

‘Waktu lebih berharga daripada uang.’

Penjahat dunia maya pemula dapat memulai bisnis rumahan mereka dengan beberapa klik dan investasi finansial kecil. Ransomware-as-a-Service (RaaS) sedang dalam perjalanan untuk menjadi platform pemasaran bertingkat yang tumbuh paling cepat di dunia.

Operator besar yang menyediakan ransomware menggabungkan semua alat yang diperlukan untuk melakukan serangan ini. Semua alat dunia maya, dokumentasi, dan bahkan video petunjuk, akses ke dasbor, dan terkadang komisi hingga 80% untuk tebusan yang berhasil diterima, diberikan sebagai imbalan baik biaya tetap bulanan, atau langganan afiliasi. Afiliasi menerima kredit atas serangan mereka melalui ID unik yang tertanam dalam malware yang mereka gunakan.

Karena banyak serangan siber tidak diungkapkan sepenuhnya, sulit untuk secara akurat menilai dampak keuangan ransomware terhadap bisnis, tetapi, menurut Laporan Kejahatan Internet 2021, IC3 menerima 847.376 pengaduan pada tahun 2021 atas semua kejahatan internet, dengan kerugian sebesar $6,9 miliar.

Laporan terbaru dari Coveware menunjukkan bahwa rata-rata kasus ransomware di Q4 2021 berlangsung selama 20 hari. Laporan tersebut juga menunjukkan bahwa biaya paling serius dari ransomware terkait dengan gangguan bisnis. Bahkan jika organisasi Anda memiliki cadangan yang Anda gunakan untuk memulihkan apa yang hilang, perlu beberapa hari sebelum sistem dicadangkan dan berjalan, yang dapat memiliki dampak operasional, keuangan, dan reputasi yang signifikan.

Sejumlah survei menggambarkan gangguan komunikasi antara pro keamanan siber dan tindakan yang diambil, atau tidak diambil, oleh C-suite. Tetapi ada indikasi bahwa praktik pengembangan perangkat lunak komersial membaik. Sebuah survei terbaru dari GitLab menunjukkan bahwa jalur pipa perangkat lunak otomatis menemukan kerentanan keamanan sebelum kode dikirimkan. Karena devops semakin bergeser ke kiri, ada juga beberapa perubahan pola pikir yang terjadi.

Panduan mitigasi dan pengerasan

Pengidentifikasi yang disematkan memungkinkan penyedia RaaS untuk mengidentifikasi afiliasi mereka dari jarak jauh dan membayar komisi mereka. Tetapi pengidentifikasi itu juga memberi penyelidik cara untuk secara langsung menghubungkan serangan individu dengan kampanye yang lebih luas.

“Sementara industri terus mengintegrasikan keamanan ke dalam pengembangan, dan organisasi mulai meningkatkan keamanan secara keseluruhan, penelitian kami menunjukkan bahwa penggambaran tanggung jawab yang lebih jelas dan adopsi alat baru diperlukan untuk sepenuhnya menggeser keamanan ke kiri,” kata Johnathan Hunt, wakil presiden keamanan di GitLab. “Di masa depan, kami berharap untuk melihat tim keamanan menemukan lebih banyak cara untuk memberikan harapan yang jelas bagi anggota lain dari organisasi mereka, dan terus mengadopsi teknologi inovatif untuk pemindaian dan tinjauan kode untuk meningkatkan kecepatan dan kualitas siklus pengembangan.”

National Institute of Standards and Technology (NIST) merilis Defending Against Software Supply Chain Attacks pada April 2021. Laporan tersebut menyoroti teknik serangan umum dan tindakan yang harus dilakukan pembela jaringan untuk mengurangi komponen perangkat lunak yang rentan.

Rekomendasi dari NIST termasuk program manajemen kerentanan jerami memungkinkan organisasi untuk memindai, mengidentifikasi, triase dan kemudian mengurangi kerentanan. Program manajemen kerentanan organisasi harus mencakup proses dan alat untuk menerapkan tambalan perangkat lunak, jika diperlukan.

Pembela jaringan harus menggunakan manajemen konfigurasi dan otomatisasi proses untuk melacak produk dan layanan yang digunakan perusahaan dan vendor yang menyediakannya. Tetap up-to-date dengan perubahan (patch, versi baru, event end-of-life, dll) untuk setiap produk atau layanan tersebut menantang, tetapi pada dasarnya diperlukan.

Serangan RaaS akan berlanjut dan oleh semua akun mereka akan menjadi lebih ramping. Mencegah perusahaan Anda dari kehilangan data, sumber daya, waktu dan uang akan membutuhkan staf terlatih, dan kewaspadaan.

Misi VentureBeat adalah menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Pelajari lebih lanjut tentang keanggotaan.

Leave a Reply

Your email address will not be published. Required fields are marked *