Bahas Unik - Pada bulan November McAfee Labs merilis laporan Prediksi Ancaman 2017 dan salah satu prediksi yang mendapat banyak tekanan adalah McAfee memperkirakan serangan ransomware akan menurun pada 2017. Berdasarkan penelitian yang telah saya lakukan, saya rasa ini tidak benar. Saya percaya sifat ransomware akan berubah, tapi selama itu menguntungkan penyerang untuk menggunakan uang tebusan mereka akan terus melakukannya.Berikut adalah prediksi saya untuk tahun 2017, tanpa urutan tertentu.
Tren Ransomware 2017
1. Ransomware akan menjadi alat oleh hacker utilityHari ini, kita menganggap serangan ransomware paling banyak sebagai "menghancurkan dan merebut," seperti merampok 7-11 lokal Anda, sebuah kejahatan yang dipecat oleh peretas terampil rendah. Yang benar adalah, ini sudah mulai berubah dan akan terus berkembang. Ransomware akan duduk di gudang berbagai penyerang, mirip dengan keylogger atau pemindai jaringan. Mengapa kelompok yang lebih maju menambahkan uang tebusan ke gudang senjata mereka? Kami telah melihat sejumlah serangan yang sudah terjadi dimana penyerang terampil masuk ke jaringan, mendapatkan apa yang mereka butuhkan, dan meninggalkan barang ransom di belakang.
Bagian dari alasan untuk ini adalah bahwa hal itu menjadi gangguan yang berguna: "Apakah kita diretas?" "Bukan hanya serangan ransomware" - orang memikirkan serangan ransomware sebagai serangan mesin tunggal, jadi mereka tidak perlu melihat-lihat Sisa jaringan untuk tanda-tanda pelanggaran lainnya, sehingga memudahkan penyerang untuk melarikan diri tanpa diketahui. Tapi alasan lain adalah bahwa kelompok penyerang maju perlu menghasilkan uang, dan uang tebusan yang dilakukan dengan benar bisa sangat menguntungkan. Dengan semua akun, kegiatan yang disponsori negara dari China telah menurun pada tahun 2016 (sebuah tren yang dapat berbalik pada 21 Januari 2017), yang berarti banyak kontraktor China yang mengandalkan pemerintah China untuk melakukan pekerjaan outsourcing harus menemukan sumber baru. Dari pendapatan.
Banyak dari kontraktor ini memiliki akses yang sangat baik ke sejumlah besar organisasi di seluruh dunia, jadi mengapa tidak membuang beberapa uang tebusan?
2. Kita akan melihat lebih banyak serangan yang dirancang untuk mempermalukan korban di depan publik.
Mengingat banyaknya liputan pers bahwa serangan terhadap San Francisco MUNI dihasilkan, saya berharap dapat melihat lebih banyak serangan peniru seperti ini di tahun 2017. Ini adalah serangan ransomware yang dirancang untuk mempermalukan perusahaan secara publik. Ini bukan serangan pemerasan yang khas, namun justru itulah yang memungkinkan semua pembalap San Francisco MUNI secara jelas dan terbuka melihat bahwa organisasi tersebut telah dikompromikan.
Dengan kata lain, penyerang akan mendapatkan akses ke organisasi, baik melalui keberuntungan atau penargetan, dan akan mencari sistem yang dihadapi publik, seperti:
- Sistem checkout sendiri di Store chains
- ATM Bank
- Billboard terkomputerisasi di Times Square
Pada dasarnya, setiap organisasi yang memiliki sistem kios-type publik dan berjalan pada versi Microsoft Windows yang lebih tua dan tidak aman. Jika jenis sistem ini terinfeksi ransomware, semua orang tahu bahwa Anda telah dipukul dan ada banyak tekanan untuk menyelesaikan masalah dengan cepat.
Catatan: Ini, dalam pikiran saya, berbeda dengan serangan Internet of Things (IoT) - yang dibahas kemudian, karena sistem ini tidak terhubung langsung ke internet; Mereka terhubung ke jaringan yang terhubung, sehingga penyerang harus membuat keputusan sadar untuk mengejar sistem ini begitu dia berada di jaringan.
3. Lebih banyak contoh ransomware tidak menggunakan executable sebagai alat untuk menghindari deteksi.
Ini adalah sesuatu yang telah dilakukan dengan Ransom32 - dikembangkan seluruhnya di JavaScript dan PowerWare (dikembangkan di PowerShell) - dan ini adalah tren yang akan terus berkembang. Jenis ransomware ini menggunakan kombinasi bahasa scripting (seperti PowerShell dan JavaScript) dan Microsoft API memanggil untuk mengenkripsi file di mesin korban. Enkripsi, catatan tebusan, dan panggilan keluar ke perintah dan server kontrol selesai tanpa file eksekusi. Keluarga ransomware ini dapat menghindari deteksi oleh banyak vendor keamanan tradisional karena mereka mengambil keuntungan dari proses yang sah pada sistem, jadi semua yang mereka lakukan adalah "sah".
4. Kampanye spam ransomware akan menargetkan keamanan penyedia email web.
Saat ini, kampanye spam kalah dalam pertempuran melawan penyedia email web konsumen seperti Yahoo !, Microsoft, dan Google. Layanan ini menjadi sangat baik dalam mengidentifikasi kampanye ransomware dengan cepat dan mengirim email yang menyinggung ke folder Junk (atau yang setara). Ini, setidaknya sebagian, berkontribusi pada kenaikan uang saku di perusahaan pada tahun 2016 - sistem penyaringan spam di banyak organisasi kurang efektif, atau tidak ada, daripada penyedia email web konsumen, yang merupakan salah satu alasan mengapa Penyerang di belakang ransomware telah memfokuskan target perusahaan.
Jika ransomware mengikuti tren kampanye serangan berbasis email sebelumnya, penyerang akan mulai mencari cara untuk memotong fitur keamanan yang ada di dalam penyedia email web ini, serupa kerentanan terbaru yang terungkap dari layanan email Yahoo. Sebagian besar pengguna tidak memikirkannya, namun layanan webmail memiliki banyak kerumitan pada backend, yang sama sekali tidak terlihat oleh pengguna. Setiap sistem yang kompleks tunduk pada kerentanan keamanan.
Sebagai kelompok ransomware terlihat untuk memperluas permukaan serangan mereka cara termudah untuk melakukannya adalah meningkatkan jumlah orang yang melihat email mereka atau menginstal otomatis ransomware saat korban membuka email. Jika kelompok ransomware dapat menemukan kelemahan dalam keamanan penyedia layanan ini, atau menggunakan beberapa dari jutaan yang mereka hasilkan untuk membeli eksploitasi zero-day untuk memanfaatkan kelemahan yang mungkin ada, mereka dapat meningkatkan jumlah pemasangan yang berhasil dan meningkatkan pendapatan mereka. Bahkan lebih. Saya pikir kita akan melihat serangan seperti ini di tahun 2017.
5. Tidak akan ada kampanye IoT ransomware.
Saya sedikit pelit ketika datang ke ransomware di IoT. Karena perangkat ini cenderung disinkronkan dengan server atau awan, terlalu mudah untuk menghapus dan menggantinya, jadi tidak ada alasan kuat bagi korban untuk membayar uang tebusan. Jadi, saya tidak berpikir uang tebusan akan efektif terhadap target ini. Ada perbedaan antara perangkat IoT itu sendiri dan sistem Windows yang berfungsi sebagai wajah sistem IoT ini; Mereka akan dikenai serangan dengan cara yang sama seperti sistem Windows lainnya.
Sebenarnya, dalam beberapa hal mereka mungkin lebih rentan terhadap uang tebusan. Sistem kontrol sering menjalankan perangkat lunak khusus yang mengendalikan perangkat IoT, perangkat lunak khusus ini biasanya memerlukan versi Windows tertentu, yang sering ketinggalan jaman dan tidak dipasangkan. Tapi ketika kita berbicara tentang OS Linux / UNIX / Specialized yang benar-benar menangani fungsi sehari-hari dari sistem tersebut, mereka terlalu jelas menjadi target yang dapat diandalkan untuk uang saku yang diproduksi secara massal. Ada juga perbedaan dalam cara sistem file disiapkan antara sistem Linux / UNIX dan komputer Windows.
Kebanyakan orang bertindak sebagai administrator lokal di komputer rumah mereka, dan bahkan banyak perusahaan mengizinkan pengguna mereka untuk memiliki akses administratif lokal ke tempat kerja mereka. Secara praktis, ini berarti pengguna bisa mengakses setiap file pada sistem. Bila korban secara tidak sengaja menginstal ransomware, ransomware juga memiliki akses ke semua hal di sistem dan dapat mengenkripsi semuanya. Sistem Linux / UNIX beroperasi secara berbeda. Pengguna hanya memiliki akses ke file nya, tidak semua file pada sistem. Bahkan jika pengguna tidak sengaja menginstal ransomware, ransomware hanya akan dapat mengenkripsi file pengguna, tidak semua file pada sistem.
Agar ransomware efektif pada sistem Linux / UNIX, penyerang akan memerlukan korban yang masuk sebagai root atau mengemas eskalasi hak istimewa dengan uang tebusan (itu adalah keseluruhan masalah lainnya). Analisis biaya-manfaat tidak bekerja; Anda tidak akan menghasilkan cukup uang tebusan untuk menutupi biaya pembangunan. Selain tidak hemat biaya, sangat sulit mendapatkan ransomware untuk berjalan di sistem Linux / UNIX (kecuali penyerang memiliki kontrol dan memasangnya), dan lebih sulit lagi untuk mengetahui cara mendapatkan portir ransomware ke OS yang tidak jelas.
Ada perbedaan yang harus dibuat antara perangkat IU kelas konsumen, seperti router rumahan dan kamera web dan sistem Pengawasan Kontrol dan Akuisisi Data (SCADA) yang lebih kompleks yang mengendalikan hal-hal seperti pasokan air atau lampu lalu lintas kota. Sistem ini juga berjalan pada sistem operasi khusus, namun tidak seperti perangkat konsumen IoT. Penyerang yang mengembangkan serangan ransomware terhadap platform ini memiliki analisis biaya-manfaat yang sama sekali berbeda.
Dengan mudah bisa sepadan dengan waktu, usaha dan biaya untuk membuat uang tebusan dan menyerang sistem ini. Menurut saya hal itu tidak akan terjadi pada 2017, namun jika orang lebih pintar dalam melindungi sistem atau organisasi mereka, sistem SCADA ini akan menjadi sasaran yang lebih menarik.
6. Sama halnya, tidak akan ada Mirai-Style botnet yang menginstal ransomware
Karena botnet Mirai sangat terkait erat dengan IoT, tren ini terkait dengan yang sebelumnya, tapi saya ingin membuat perbedaan karena beberapa orang percaya bahwa kita akan melihat botnet gaya Mirai yang memasang ransomware di semua router internet rumah kita. Atau kamera CCTV. Kami benar-benar melihat sesuatu yang serupa dengan itu di awal 2016. Versi CTB-Locker dirancang untuk memanfaatkan kelemahan di situs WordPress. Ini dikonfigurasi untuk mengganti halaman depan situs dengan catatan tebusan dan kemudian memindai situs WordPress yang lebih rentan untuk menginfeksi.
Tidak ada yang membayar tebusan. Selain kesulitan yang telah dibahas sebelumnya dalam merancang dan mengirimkan ransomware berbasis UNIX, ada dua alasan mengapa mencoba menyerang router Internet tidak akan bekerja. Yang pertama adalah tidak ada "tampilan layar" pada perangkat ini. Korban tidak akan tahu bahwa mereka telah terinfeksi oleh uang tebusan. Dalam kasus router internet, bagi kebanyakan orang, ketika internet berhenti bekerja mereka memanggil ISP mereka, yang mungkin telah mengirim mereka router yang terinfeksi di tempat pertama.
Jika teknisi di ISP melihat bahwa ia memiliki ransomware di atasnya, mereka tidak akan mengakuinya, mereka hanya akan menginap di router baru dan menyingkirkan yang lama. Ini berlaku untuk kamera keamanan dan perangkat IoT yang tanpa kepala; Ada kesempatan baik tidak ada yang tahu bahwa ransomware terpasang, dan jika mereka melakukannya mungkin lebih murah untuk mereset / mengganti perangkat daripada membayar uang tebusan.
7. Jika terjadi penurunan ransomware maka akan terjadi karena tindakan penegak hukum.
Pada tahun 2016, komunitas keamanan berkolaborasi dengan penegak hukum dengan cara yang besar untuk secara permanen mematikan penyerang di balik alat ransom dan alat eksploitasi yang mengantarkan mereka. Pada bulan Mei, geng di belakang Penjaga Eksploitasi Kit ditangkap. Demikian pula, menurut peneliti keamanan Yonathan Klijnsma, pihak berwenang semakin dekat dengan tim di belakang CryptoWall sehingga mereka merasa lebih baik melakukan rana semua operasi daripada penangkapan risiko. Tim di balik layanan malware Avalanche ditangkap pada bulan Desember.
Agen penegak hukum semakin pandai dalam keamanan cyber, dan agen-agen tersebut menjangkau lintas perbatasan untuk bekerja dengan rekan-rekan internasional mereka lebih dekat dari sebelumnya. Mereka juga meningkatkan kolaborasi mereka dengan para periset keamanan - para analis melakukan pengangkatan yang berat saat harus membedah ransomware dan menawarkan perlindungan baru. Yang pasti, kapan tim hacking besar diturunkan, sepertinya selalu ada yang menunggu untuk mengisi kekosongan itu.
Jika terjadi perlambatan dalam produksi dan pengiriman uang tebusan, kelonggaran tersebut dapat diambil oleh kelompok lain. Di sisi lain, penjahat ini harus memperhitungkan biaya waktu penjara sebagai bagian dari harga melakukan bisnis, yang dapat menyebabkan mereka berpikir dua kali.
Tips Pencegahan Ransomware
Singkatnya, saat memasuki 2017, serangan ransomware ada di sini untuk tinggal. Kami melihat pertumbuhan kuartal ke kuartal dalam serangan ransomware pada tahun 2015 dan 2016 dan akan terus melihat pertumbuhan jenis ini di tahun 2017.Selama korban terus membayar uang tebusan dan mendanai pertumbuhan dan pengembangan keluarga ransomware ini akan ada serangan ransomware yang lebih kreatif dan efektif. Berikut adalah beberapa praktik terbaik untuk meminimalkan risiko dan kerugian dari uang tebusan:
- Backup, backup, backup - dan ujilah backup secara teratur.
- Jaga agar browser dan plug-in web seperti Adobe Flash dan Microsoft Silverlight diperbarui, dan memprioritaskan menambal rilis baru.
- Copot pemasangan semua plug-in browser yang tidak diperlukan untuk tujuan bisnis, dan mencegah pengguna menginstalnya kembali.
- Nonaktifkan makro Microsoft Office secara default, dan selektif mengaktifkannya bagi mereka yang membutuhkan makro.
- Scan email masuk untuk lampiran yang mencurigakan, termasuk memeriksa semua lampiran terkompresi.
- Secara otomatis mengkarantina email yang memiliki lampiran yang berisi skrip atau file .scr.
- Nonaktifkan atau hapus executable PowerShell, wscript, dan cscript pada semua workstation non-administratif.
- Jangan memberikan semua pengguna di organisasi akses administratif lokal ke workstation mereka.
- Gunakan intelijen ancaman untuk mendapatkan visibilitas ke lingkungan ancaman eksternal organisasi Anda dan pantau setiap ancaman ransomware yang muncul ke organisasi Anda.
EmoticonEmoticon