Belum lama ini, PRIMACS membahas mengenai dugaan Mustang Panda (Threat Actor dari China) menggunakan Thanos (salah satu jenis Ransomware) untuk menyusupi 10 Lembaga Pemerintah Indonesia. Disebutkan pada artikel PRIMACS sebelumnya, Thanos merupakan salah satu dari Ransomware-as-a-Service (RAAS).
APA ITU RAAS?
Definisi RAAS menurut Software Engineering Institute (SEI) di Universitas Carnegie Mellon "RaaS merupakan model bisnis baru untuk pengembang Ransomware (kita sebut "si penjual" RaaS). Aktor-aktor ini kemudian menjual atau menyewakan varian Ransomware mereka kepada afiliasi yang nantinya digunakan untuk melakukan serangan". Catatan dari Bleeping Computer untuk RaaS, mereka mengatakan bahwa aktor-aktor ini dapat menetapkan jumlah uang tebusan, bernegosiasi dengan korban, dan kemudian mengambil sebagian dari pembayaran uang tebusan untuk layanan mereka. Sedangkan untuk afiliasi (kita sebut "si pelanggan" RaaS), mereka menyimpan sisa pembayaran tebusan untuk bagian mereka dalam menjalankan serangan, mencuri data, dan menginstal Ransomware ke jaringan target.
Dalam operasinya, RaaS dimulai ketika "si penjual" memberikan atau menyediakan malicious code-nya di black-market kepada "si pelanggan", untuk digunakan pada serangan mereka. Hal ini bisa saja dilakukan secara gratis atau dengan sistem profit sharing (pembagian hasil pembayaran ransom dari korban).
Kemudian "si pelanggan" akan melancarkan serangannya kepada korban menggunakan attack vector pilihan mereka (bisa melalui email, website, dll). Ketika sukses, RaaS code yang digunakan untuk serangan tersebut akan mengarahkan korban menuju website yang sudah terpasang Ransomware atau menginfeksi mesin korban dengan malicious attachment (tergantung metode yang digunakan oleh Threat Actor).
RaaS code yang sudah berhasil running pada mesin korban, akan men-download & meng-execute Ransomware. Pada tahap ini, mesin korban sudah mulai terenkripsi atau juga sudah mulai menginfeksi mesin lain yang ada di jaringan yang sama. Pada tahap akhir, akan muncul notifikasi mengenai permintaan untuk pembayaran ransom dengan nominal tertentu.
Ketika pembayaran ransom sudah diterima oleh Threat Actor (dalam hal ini adalah "si pelanggan"), mereka mungkin saja akan mengirimkan kunci untuk men-decrypt file, meminta tambahan pembayaran, atau tidak ada response sama sekali.
BEBERAPA RAAS OPERATIONS
Untuk sebuah operation atau campaign dari RaaS, bisa saja sederhana atau mungkin kompleks seperti serangan APT (Advanced Persistence Threat). Untuk sebuah serangan Ransomware yang kompleks tersebut, Threat Actors dapat membuat kerusakan yang dialami korban menjadi lebih parah, dan memposisikan diri mereka untuk dapat meminta tebusan sebesar ratusan juta dolar dari korban.
Seperti RaaS Operation yang dilakukan pada tahun 2016, yaitu Cerber. Dimana Cerber merupakan operasi terbesar dengan 161 kampanye aktif dan 8 serangan baru diluncurkan setiap harinya. Operasi tersebut menghasilkan $200,000 dalam satu bulan, sehingga pendapatan tahunannya menjadi $2,5 juta.
Selain itu, ada lagi REvil (a.k.a Sodinokibi). Threat Actor dibalik pengembang REvil mengklaim bahwa dalam 1 tahun, mereka berhasil menghasilkan $100 juta karena fokus melakukan serangan pada large business. Dan ada info lagi bahwa mereka hanya akan menghentikan aksinya jika tebusan yang didapat mencapai $2 milyar.
Bulan lalu, CISA & FBI baru saja mem-publish Alert (AA21-265A) mengenai Conti Ransomware. Diberitakan bahwa ada kenaikan kasus serangan yang mencapai lebih dari 400 kasus serangan, yang menargetkan organisasi di U.S. maupun internasional. Dan Conti Ransomware ini merupakan salah satu RaaS yang masih aktif sampai saat ini (sesuai tanggal publish artikel ini). Threat Actors yang menggunakan Conti biasanya menggunakan celah-celah berikut ini untuk mendapatkan initial access ke dalam jaringan target:
Phishing email yang malampirkan malicious file atau malicious link.
Contoh: File Word yang berbahaya berisi script untuk mengunduh atau menghapus malware lain—seperti TrickBot dan IcedID, dan/atau Cobalt Strike—untuk melakukan lateral movement (menginfeksi mesin lain yang ada dalam 1 jaringan) dan tahap selanjutnya dengan tujuan akhir untuk menyebarkan Conti ransomware.
Kredensial Remote Desktop Protocol (RDP) yang dicuri atau lemah.
Perangkat lunak palsu yang diunduh dari malicious website.
Common Vulnerabilities pada aset eksternal (terekspose ke internet).
BAGAIMANA CARA PROTEKSINYA?
Dari informasi mengenai attack vector yang biasa digunakan oleh Threat Actor, kita dapat melakukan pencegahan dan pendeteksian dini terhadap serangan RaaS.
Beberapa hal yang dapat dilakukan sebagai berikut:
Implementasi solusi Endpoint Detection & Response (EDR)
Gunakan Multi Factor Authentication (MFA)
Menerapkan segmentasi jaringan dan filtering traffic
Regular Vulnerability Assessment & selalu perbarui versi perangkat lunak
Hapus aplikasi yang tidak perlu dan terapkan application control
Membatasi akses ke resource internal melalui jaringan, terutama dengan membatasi fungsi RDP
Melakukan data backup secara berkala dan restore test untuk memvalidasinya
Diluar hal-hal yang dibahas untuk proteksi diatas, strategi terbaik untuk perusahaan adalah mencegah serangan Ransomware agar tidak berhasil sejak tahap awal. Untuk melakukan itu, perusahaan perlu berinvestasi dalam solusi keamanan yang bisa memberikan multi-layered protection. Solusi yang memanfaatkan Indicators of Behavior (IOBs) dalam mendeteksi dan mencegah serangan Ransomware pada tahap awal masuknya Ransomware, yaitu tahap dimana sebelum terjadinya eksfiltrasi data sensitif yang berujung pemerasan oleh Threat Actors.
Cybereason memiliki kemampuan dalam mendeteksi Ransomware pada tahap awal terjadinya infeksi. Ingin tahu bagaimana Cybereason dapat melakukan hal tersebut? Simak jawabannya di Webinar PRIMACS hari Kamis/28 Oktober 2021, jam 10am - 11.30am. Segera daftar di link ini ya: https://www.primacs.co.id/event-details/the-future-of-endpoint-security-cybereason
Source: