Apa itu Ransomware Blackcat dan Bagaimana Cara Mempertahankannya?

Diterbitkan: 2022-12-27

Serangan dunia maya adalah upaya yang disengaja dan jahat untuk mendapatkan akses tidak sah ke sistem komputer atau jaringan melalui kerentanan yang ada. Ini dapat dilakukan untuk mencuri informasi sensitif dan mengganggu operasi normal.

Baru-baru ini, ransomware telah menjadi alat serangan dunia maya di antara penjahat dunia maya. Ransomware biasanya menyebar antara lain melalui email phishing, unduhan drive-by, perangkat lunak bajakan, dan protokol meja jarak jauh.

Setelah komputer terinfeksi ransomware, ransomware mengenkripsi file penting di komputer. Peretas kemudian meminta uang tebusan untuk memulihkan data terenkripsi.

Serangan dunia maya dapat membahayakan keamanan nasional suatu negara, melumpuhkan operasi di sektor-sektor utama ekonomi, dan menyebabkan kerusakan besar serta kerugian finansial yang serius. Inilah yang terjadi dengan serangan cyber ransomware WannaCry.

peretas

Pada 12 Mei 2017, ransomware bernama WannaCry diyakini berasal dari Korea Utara, menyebar ke seluruh dunia dan menginfeksi lebih dari 200.000 sistem komputer di lebih dari 150 negara dalam waktu kurang dari dua hari. WannaCry menargetkan sistem komputer yang menjalankan sistem operasi Windows. Itu mengeksploitasi kerentanan dalam protokol blok pesan server sistem operasi.

Salah satu korban terbesar dari serangan itu adalah Layanan Kesehatan Nasional Inggris (NHS). Lebih dari 70.000 perangkat mereka, termasuk komputer, teater, peralatan diagnostik, dan pemindai MRI, terinfeksi. Dokter tidak dapat mengakses sistem mereka atau catatan pasien yang diperlukan untuk merawat pasien. Serangan ini merugikan NHS hampir 100 juta dolar.

Itu adalah seberapa buruk yang bisa didapat. Namun, keadaan bisa menjadi jauh lebih buruk, terutama dengan Ransomware baru dan lebih berbahaya seperti BlackCat, yang meninggalkan banyak korban.

Ransomware BlackCat

BlackCat-Ransomware

Ransomware BlackCat, disebut sebagai ALPHV oleh pengembangnya, adalah perangkat lunak berbahaya yang, setelah menginfeksi sistem, mengekstraksi dan mengenkripsi data dalam sistem yang terpengaruh. Eksfiltrasi melibatkan penyalinan dan transfer data yang disimpan dalam sistem. Setelah BlackCat mengekstraksi dan mengenkripsi data penting, permintaan untuk pembayaran tebusan dalam mata uang kripto dibuat. Korban BlackCat diharuskan membayar uang tebusan yang diminta untuk mendapatkan kembali akses ke data mereka.

BlackCat bukanlah ransomware biasa. BlackCat adalah ransomware pertama yang berhasil ditulis dalam Rust, tidak seperti ransomware lain yang biasanya ditulis dalam C, C++, C#, Java, atau Python. Selain itu, BlackCat juga merupakan keluarga ransomware pertama yang memiliki situs web di web bersih tempat mereka membocorkan informasi yang dicuri dari serangan mereka.

Perbedaan utama lainnya dari Ransomware lain adalah bahwa BlackCat beroperasi sebagai Ransomware sebagai layanan (RaaS). Raas adalah model bisnis kejahatan dunia maya di mana pembuat ransomware menyewakan atau menjual ransomware mereka sebagai layanan kepada individu atau grup lain.

Dalam model ini, pembuat ransomware menyediakan semua alat dan infrastruktur yang diperlukan bagi orang lain untuk mendistribusikan dan mengeksekusi serangan ransomware. Ini sebagai imbalan atas bagian dari keuntungan mereka yang diperoleh dari pembayaran ransomware.

Ini menjelaskan mengapa BlackCat sebagian besar menargetkan organisasi dan bisnis, karena mereka biasanya lebih bersedia membayar uang tebusan dibandingkan individu. Organisasi dan bisnis juga membayar uang tebusan yang lebih besar dibandingkan individu. Panduan manusia dan pengambilan keputusan dalam serangan dunia maya dikenal sebagai Cyber ​​Threat Actors (CTA).

Untuk memaksa korban membayar tebusan, BlackCat menggunakan 'teknik pemerasan tiga kali lipat'. Ini melibatkan penyalinan dan transfer data korban dan mengenkripsi data di sistem mereka. Para korban kemudian diminta membayar uang tebusan untuk mengakses data terenkripsi mereka. Kegagalan untuk melakukan itu mengakibatkan data mereka bocor ke publik dan/atau serangan denial of service (DOS) diluncurkan pada sistem mereka.

Terakhir, mereka yang akan terkena dampak kebocoran data dihubungi dan diberitahukan bahwa data mereka akan bocor. Ini biasanya pelanggan, karyawan, dan afiliasi perusahaan lainnya. Hal ini dilakukan untuk menekan organisasi korban agar membayar uang tebusan untuk menghindari hilangnya reputasi dan tuntutan hukum akibat kebocoran data.

Cara Kerja Ransomware BlackCat

Bagaimana-BlackCat-ransomware-bekerja

Menurut peringatan kilat yang dirilis oleh FBI, ransomware BlackCat menggunakan kredensial pengguna yang sebelumnya disusupi untuk mendapatkan akses ke sistem.

Setelah berhasil dalam sistem, BlackCat menggunakan akses yang dimilikinya untuk mengkompromikan akun pengguna dan administrator yang disimpan di direktori aktif. Ini memungkinkannya menggunakan Penjadwal Tugas Windows untuk mengonfigurasi Objek Kebijakan Grup (GPO) berbahaya yang memungkinkan BlackCat menyebarkan ransomware untuk mengenkripsi file dalam sistem.

Selama serangan BlackCat, skrip PowerShell digunakan bersama dengan Cobalt Strike untuk menonaktifkan fitur keamanan di jaringan korban. BlackCat kemudian mencuri data korban dari tempat penyimpanannya, termasuk dari penyedia cloud. Setelah ini selesai, aktor ancaman dunia maya yang memandu serangan menyebarkan ransomware BlackCat untuk mengenkripsi data di sistem korban.

Korban kemudian mendapatkan catatan tebusan yang memberi tahu mereka bahwa sistem mereka telah mengalami serangan dan file penting dienkripsi. Tebusan juga memberikan petunjuk tentang cara membayar tebusan.

Mengapa BlackCat lebih berbahaya daripada ransomware rata-rata?

terenkripsiBlackCat

BlackCat berbahaya dibandingkan dengan ransomware rata-rata karena sejumlah alasan:

Itu ditulis dalam Rust

Rust adalah bahasa pemrograman yang cepat, aman, dan menawarkan peningkatan kinerja dan manajemen memori yang efisien. Dengan menggunakan Rust, BlackCat menuai semua manfaat ini, menjadikannya ransomware yang sangat kompleks dan efisien dengan enkripsi cepat. Itu juga membuat BlackCat sulit untuk membalikkan rekayasa. Rust adalah bahasa lintas platform yang memungkinkan pelaku ancaman dengan mudah menyesuaikan BlackCat untuk menargetkan sistem operasi yang berbeda, seperti Windows dan Linux, meningkatkan jangkauan calon korban mereka.

Ini menggunakan model bisnis RaaS

Penggunaan ransomware BlackCat sebagai model layanan memungkinkan banyak pelaku ancaman menyebarkan ransomware kompleks tanpa harus tahu cara membuatnya. BlackCat melakukan semua pekerjaan berat untuk pelaku ancaman, yang hanya perlu menerapkannya dalam sistem yang rentan. Hal ini membuat serangan ransomware yang canggih menjadi mudah bagi pelaku ancaman yang tertarik untuk mengeksploitasi sistem yang rentan.

Ini menawarkan pembayaran besar untuk afiliasi

Dengan BlackCat menggunakan model Raas, pembuatnya menghasilkan uang dengan mengambil potongan dari uang tebusan yang dibayarkan kepada pelaku ancaman yang menyebarkannya. Tidak seperti keluarga Raas lainnya yang mengambil hingga 30% dari pembayaran tebusan pelaku ancaman, BlackCat mengizinkan pelaku ancaman untuk menyimpan 80% hingga 90% dari uang tebusan yang mereka hasilkan. Hal ini meningkatkan daya tarik BlackCat bagi pelaku ancaman yang memungkinkan BlackCat mendapatkan lebih banyak afiliasi yang bersedia menyebarkannya dalam serangan dunia maya.

Ini memiliki situs kebocoran publik di web yang jelas

Tidak seperti ransomware lain yang membocorkan informasi curian di web gelap, BlackCat membocorkan informasi curian di situs web yang dapat diakses di web yang jelas. Dengan membocorkan data yang dicuri secara terang-terangan, lebih banyak orang dapat mengakses data tersebut, meningkatkan dampak serangan dunia maya dan memberi lebih banyak tekanan pada korban untuk membayar uang tebusan.

Bahasa pemrograman Rust membuat BlackCat sangat efektif dalam serangannya. Dengan menggunakan model Raas dan menawarkan pembayaran yang besar, BlackCat menarik lebih banyak pelaku ancaman yang kemungkinan besar akan menyebarkannya dalam serangan.

Rantai Infeksi Ransomware BlackCat

infeksiChain

BlackCat mendapatkan akses awal ke sistem menggunakan kredensial yang disusupi atau dengan mengeksploitasi kerentanan Microsoft Exchange Server. Setelah mendapatkan akses ke sistem, pelaku jahat menurunkan pertahanan keamanan sistem dan mengumpulkan informasi tentang jaringan korban dan meningkatkan hak istimewa mereka.

Ransomware BlackCat kemudian bergerak secara lateral dalam jaringan, mendapatkan akses ke sebanyak mungkin sistem. Ini sangat berguna selama permintaan tebusan. Semakin banyak sistem yang diserang, semakin besar kemungkinan korban akan membayar uang tebusan.

Aktor jahat kemudian mengekstraksi data sistem yang akan digunakan dalam pemerasan. Setelah data penting diekstraksi, tahapan ditetapkan untuk pengiriman muatan BlackCat.

Aktor jahat mengantarkan BlackCat menggunakan Rust. BlackCat pertama-tama menghentikan layanan seperti pencadangan, aplikasi antivirus, layanan Internet Windows, dan mesin virtual. Setelah ini selesai, BlackCat mengenkripsi file dalam sistem dan merusak gambar latar sistem menggantikannya dengan catatan tebusan.

Lindungi dari BlackCat Ransomware

aman

Meskipun BlackCat terbukti lebih berbahaya daripada ransomware lain yang disaksikan sebelumnya, organisasi dapat melindungi diri dari ransomware dengan beberapa cara:

Enkripsi Data Penting

Bagian dari strategi pemerasan Blackhat melibatkan ancaman untuk membocorkan data korban. Dengan mengenkripsi data penting, sebuah organisasi menambahkan lapisan perlindungan ekstra ke datanya, sehingga melumpuhkan teknik pemerasan yang digunakan oleh pelaku ancaman BlackHat. Sekalipun bocor, itu tidak akan dalam format yang dapat dibaca manusia.

Perbarui sistem secara teratur

Dalam penelitian yang dilakukan oleh Microsoft, terungkap bahwa dalam beberapa kasus, BlackCat mengeksploitasi server pertukaran yang belum ditambal untuk mendapatkan akses ke sistem organisasi. Perusahaan perangkat lunak secara teratur merilis pembaruan perangkat lunak untuk mengatasi kerentanan dan masalah keamanan yang mungkin ditemukan di sistem mereka. Agar aman, instal tambalan perangkat lunak segera setelah tersedia.

Cadangkan data di lokasi yang aman

Organisasi harus memprioritaskan pencadangan data secara rutin dan penyimpanan data di lokasi offline yang terpisah dan aman. Ini untuk memastikan bahwa meskipun data penting dienkripsi, masih dapat dipulihkan dari cadangan yang ada.

Terapkan autentikasi multifaktor

Selain menggunakan kata sandi yang kuat dalam suatu sistem, terapkan autentikasi multifaktor, yang memerlukan banyak kredensial sebelum akses ke sistem diberikan. Ini dapat dilakukan dengan mengonfigurasi sistem untuk menghasilkan kata sandi sekali pakai yang dikirim ke nomor telepon atau email yang ditautkan, yang diperlukan untuk mengakses sistem.

Pantau aktivitas di jaringan dan file di sistem

Organisasi harus terus memantau aktivitas di jaringan mereka untuk mendeteksi dan merespons aktivitas mencurigakan di jaringan mereka secepat mungkin. Aktivitas di jaringan juga harus dicatat dan ditinjau oleh pakar keamanan untuk mengidentifikasi potensi ancaman. Terakhir, sistem harus diterapkan untuk melacak bagaimana file dalam sistem diakses, siapa yang mengaksesnya, dan bagaimana file tersebut digunakan.

Dengan mengenkripsi data penting, memastikan sistem selalu diperbarui, mencadangkan data secara teratur, menerapkan autentikasi multifaktor, dan memantau aktivitas dalam sistem. Organisasi dapat selangkah lebih maju dan mencegah serangan oleh BlackCat.

Sumber Belajar: Ransomware

Untuk mempelajari lebih lanjut tentang serangan dunia maya dan cara melindungi diri Anda dari serangan ransomware seperti BlackCat, kami sarankan untuk mengikuti salah satu dari kursus ini atau membaca buku yang disarankan di bawah ini:

#1. Pelatihan Kesadaran Keamanan

Pelatihan-Kesadaran-Keamanan

Ini adalah kursus yang luar biasa untuk semua orang yang tertarik untuk aman di internet. Kursus ini ditawarkan oleh Dr. Michael Biocchi, seorang Profesional Keamanan Sistem Informasi Bersertifikat (CISSP).

Kursus ini mencakup phishing, rekayasa sosial, kebocoran data, kata sandi, penelusuran aman, dan perangkat pribadi serta menawarkan tip umum tentang cara aman saat online. Kursus ini diperbarui secara berkala, dan semua orang yang menggunakan internet dapat memperoleh manfaat darinya.

#2. Pelatihan Kesadaran Keamanan, Keamanan Internet untuk Karyawan

Keamanan-Kesadaran-Pelatihan-Internet-Keamanan-untuk-Karyawan

Kursus ini disesuaikan untuk pengguna internet sehari-hari dan bertujuan untuk mengedukasi mereka tentang ancaman keamanan yang seringkali tidak disadari orang dan cara melindungi diri dari ancaman tersebut.

Kursus yang ditawarkan oleh Roy Davis, pakar keamanan informasi bersertifikat CISSP, mencakup akuntabilitas pengguna dan perangkat, phishing dan email jahat lainnya, rekayasa sosial, penanganan data, kata sandi dan pertanyaan keamanan, penelusuran aman, perangkat seluler, dan Ransomware. Menyelesaikan kursus memberi Anda sertifikat penyelesaian, yang cukup untuk mematuhi kebijakan regulasi data di sebagian besar tempat kerja.

#3. Keamanan Cyber: Pelatihan Kesadaran untuk Pemula Mutlak

Keamanan cyber

Ini adalah kursus Udemy yang ditawarkan oleh Usman Ashraf dari Akademi Logix, sebuah startup Pelatihan dan Sertifikasi. Usman bersertifikat CISSP dan memiliki gelar Ph.D. dalam jaringan komputer dan banyak industri dan pengalaman mengajar.

Kursus ini menawarkan kepada pelajar pemahaman mendalam tentang rekayasa sosial, kata sandi, pembuangan data yang aman, jaringan pribadi virtual (VPN), malware, ransomware, dan tip penjelajahan yang aman serta menjelaskan bagaimana cookie digunakan untuk melacak orang. Kursus ini non-teknis.

#4. Ransomware Terungkap

Ini adalah buku oleh Nihad A. Hassan, seorang konsultan keamanan informasi independen dan ahli dalam keamanan dunia maya dan forensik digital. Buku ini mengajarkan cara mengurangi dan menangani serangan ransomware dan memberi pembaca pandangan mendalam tentang berbagai jenis ransomware yang ada, strategi distribusinya, dan metode pemulihannya.

Pratinjau Produk Peringkat Harga
Ransomware Terungkap: Panduan Pemula untuk Melindungi dan Memulihkan dari Serangan Ransomware Ransomware Terungkap: Panduan Pemula untuk Melindungi dan Memulihkan dari Serangan Ransomware $23,74 Beli di Amazon

Buku ini juga membahas langkah-langkah yang harus diikuti jika terjadi infeksi ransomware. Ini mencakup cara membayar uang tebusan, cara melakukan pencadangan dan memulihkan file yang terpengaruh, dan cara mencari alat dekripsi daring untuk mendekripsi file yang terinfeksi. Ini juga mencakup bagaimana organisasi dapat mengembangkan rencana respons insiden ransomware untuk meminimalkan kerusakan akibat ransomware dan memulihkan operasi normal dengan cepat.

#5. Ransomware: Pahami. Mencegah. Pulih

Dalam buku ini, Allan Liska, seorang arsitek keamanan senior dan spesialis ransomware di Recorded Future, menjawab semua pertanyaan sulit terkait Ransomware.

Pratinjau Produk Peringkat Harga
Ransomware: Pahami. Mencegah. Pulih. Ransomware: Pahami. Mencegah. Pulih. $17,99 Beli di Amazon

Buku ini memberikan konteks historis tentang mengapa ransomware menjadi lazim dalam beberapa tahun terakhir, cara menghentikan serangan ransomware, kerentanan yang ditargetkan oleh pelaku jahat menggunakan ransomware, dan panduan untuk bertahan dari serangan ransomware dengan kerusakan minimal. Selain itu, buku ini menjawab pertanyaan yang sangat penting, haruskah Anda membayar uang tebusan? Buku ini menawarkan eksplorasi ransomware yang menarik.

#6. Panduan Perlindungan Ransomware

Bagi setiap individu atau organisasi yang ingin mempersenjatai diri melawan ransomware, buku ini wajib dibaca. Dalam buku ini, Roger A. Grimes, pakar keamanan dan penetrasi komputer, menawarkan pengalaman dan pengetahuannya yang luas di bidang ini untuk membantu orang dan organisasi melindungi diri dari ransomware.

Pratinjau Produk Peringkat Harga
Panduan Perlindungan Ransomware Panduan Perlindungan Ransomware $17.00 Beli di Amazon

Buku ini menawarkan cetak biru yang dapat ditindaklanjuti untuk organisasi yang ingin merumuskan pertahanan yang kuat terhadap ransomware. Itu juga mengajarkan cara mendeteksi serangan, membatasi kerusakan dengan cepat, dan menentukan apakah akan membayar uang tebusan atau tidak. Ini juga menawarkan rencana permainan untuk membantu organisasi membatasi reputasi dan kerusakan finansial yang disebabkan oleh pelanggaran keamanan yang serius.

Terakhir, buku ini mengajarkan cara membuat landasan yang aman untuk asuransi keamanan siber dan perlindungan hukum untuk memitigasi gangguan terhadap bisnis dan kehidupan sehari-hari.

Catatan Penulis

BlackCat adalah ransomware revolusioner yang pasti akan mengubah status quo dalam hal keamanan dunia maya. Per Maret 2022, BlackCat telah berhasil menyerang lebih dari 60 organisasi dan berhasil menarik perhatian FBI. BlackCat adalah ancaman serius, dan tidak ada organisasi yang mampu mengabaikannya.

Dengan menggunakan bahasa pemrograman modern dan metode serangan, enkripsi, dan pemerasan tebusan yang tidak konvensional, BlackCat telah membuat pakar keamanan mengejar ketinggalan. Namun, perang melawan ransomware ini tidak kalah.

Dengan menerapkan strategi yang disorot dalam artikel ini dan meminimalkan peluang kesalahan manusia untuk mengekspos sistem komputer, organisasi dapat tetap selangkah lebih maju dan mencegah serangan ransomware BlackCat yang membawa bencana.