Pada Maret 2018, Atlanta dilanda serangan ransomware yang menginfeksi hampir 3.800 komputer pemerintah milik kota Atlanta, termasuk server. Setelah virus disebarkan, ransomware pada dasarnya mengunci semua komputer yang terinfeksi, membuat mereka tidak dapat diakses. Sistem pengadilan Atlanta turun; polisi tidak dapat memeriksa plat nomor; penduduk tidak dapat membayar tagihan secara online.
Hanya tiga minggu sebelum Atlanta dihantam, kota kecil Leeds, Alabama , juga mengalami serangan siber yang identik. Dan sebelum Leeds pada bulan Januari, itu adalah Rumah Sakit Regional Hancock di pinggiran Indianapolis.
Kesamaan dari ketiga serangan ini adalah mereka semua terkena ransomware SamSam , juga dikenal sebagai MSIL/Samas.A. Setiap serangan menuntut jumlah yang sama — sekitar $50.000 dalam mata uang kripto . Rumah Sakit Regional Hancock dan Leeds, Alabama, membayar uang tebusan. Namun, kota Atlanta tidak. Sebaliknya, ia memilih untuk membayar jutaan agar sistemnya kembali online.
Saat itu, kota Atlanta adalah salah satu yang paling menonjol untuk diserang oleh ransomware, yang menurut John Hulquist, adalah ketika seorang penjahat dunia maya mengakses jaringan komputer, mengenkripsi semua data dan memeras perusahaan untuk membukanya. Hulquist adalah wakil presiden analisis, Mandiant Threat Intelligence di FireEye , sebuah perusahaan keamanan yang dipimpin intelijen.
Ransomware Bukanlah Hal Baru
Hulquist mengatakan serangan ransomware, yang pada dasarnya menahan jaringan perusahaan "sandera" sampai uang tebusan yang diminta dibayarkan, bukanlah hal baru. Mereka telah berlangsung selama beberapa tahun (seperti yang ditunjukkan oleh ketiga kasus ini).
Pada paruh pertama tahun 2021, jumlah organisasi yang terkena dampak ransomware di seluruh dunia meningkat lebih dari dua kali lipat dibandingkan dengan tahun 2020, menurut penelitian oleh Check Point Software Technologies. Laporan Mandiant M-Trends 2021 FireEye juga mengidentifikasi lebih dari 800 upaya pemerasan yang kemungkinan datanya dicuri. Angka-angka ini didasarkan pada investigasi Mandiant terhadap aktivitas serangan yang ditargetkan yang dilakukan dari 1 Oktober 2019, hingga 30 September 2020.
Target sekarang menjadi jauh lebih terkenal. Di AS saja sejak April, perusahaan terkemuka seperti Colonial Pipeline , JBS Foods , NBA dan Cox Media Group semuanya terkena dampaknya.
Peretas biasanya mengakses jaringan melalui serangan phishing , yaitu email yang dikirim ke karyawan yang menipu mereka agar memberikan kata sandi atau mengklik tautan berbahaya yang akan mengunduh malware ke jaringan perusahaan. Ransomware juga mencari entri lain ke dalam jaringan perusahaan melalui kata sandi yang mudah diretas, seperti 123qwe misalnya.
Mengapa Begitu Banyak dan Mengapa Sekarang?
Hulquist menjelaskannya seperti ini: Awalnya ransomware sebagian besar otomatis dan menargetkan sistem kecil. Dia menyebutnya "semprot dan berdoa."
"Ransomware akan keluar dan menyerang sistem apa pun yang bisa didapatnya," jelasnya. Itu mencari kata sandi yang rentan, jaringan terbuka, jalan masuk yang mudah. "[Para penyerang] dikenal cukup ramah; mereka akan membuka kunci data - bahkan kadang-kadang menawarkan diskon - dan melanjutkan hidup mereka." Bitcoin, katanya, menawarkan platform yang bagus untuk mentransfer uang itu. Itulah yang terjadi di Leeds. Para penyerang menuntut $60.000; kota membayar $8.000 .
Tapi kemudian segalanya berubah, kata Hulquist. Ransomware berubah dari "semprot dan berdoa" otomatis menjadi serangan besar yang diarahkan pada perusahaan besar dengan lebih banyak uang. Dan tebusan meroket. Pada tahun 2020, perusahaan membayar lebih dari $406 juta dalam cryptocurrency sebagai tebusan kepada penyerang, menurut laporan terbaru dari Chainanalysis , yang menganalisis blockchain dan cryptocurrency.
"Target baru ini harus dibayar karena seringkali merupakan infrastruktur penting," kata Hulquist. "Mereka harus kembali online. Konsumen sebenarnya adalah faktor karena mereka memaksa perusahaan-perusahaan ini untuk membuat keputusan tergesa-gesa sejauh membayar."
Membayar atau Tidak Membayar?
Itulah yang terjadi dalam serangan Colonial Pipeline. Peretasan itu menjatuhkan pipa bahan bakar terbesar di AS pada 29 April dan mendorong penimbunan bahan bakar massal di Pantai Timur. CEO Colonial Pipeline Joseph Blount mengatakan kepada The Wall Street Journal bahwa perusahaan membayar uang tebusan — $ 4,4 juta dalam bentuk bitcoin — untuk membawa pipa kembali online. Tetapi kunci dekripsi yang diberikan musuh tidak segera memulihkan semua sistem pipeline.
Dan itu hanya salah satu masalah dengan membayar uang tebusan. Pertanyaan besar lainnya adalah apakah membayar uang tebusan hanya mendorong lebih banyak masalah. "Saya pikir membayar uang tebusan jelas mengarah ke serangan yang lebih bertarget," kata Hulquist, "tetapi jika Anda adalah perusahaan dalam situasi yang mustahil, Anda harus melakukan hal yang benar untuk organisasi Anda."
Kabar baik untuk Colonial adalah Departemen Kehakiman AS mengumumkan pada 7 Juni bahwa mereka memulihkan 63,7 bitcoin, senilai sekitar $2,3 juta yang dibayarkan Colonial kepada para peretasnya. "Langkah Departemen Kehakiman untuk memulihkan pembayaran tebusan dari operator yang mengganggu infrastruktur penting AS adalah perkembangan yang disambut baik," kata Hulquist. "Sudah jelas bahwa kita perlu menggunakan beberapa alat untuk membendung gelombang masalah serius ini."
Tentu saja tidak membayar uang tebusan bisa sama bermasalahnya. "Beberapa dari perusahaan ini tidak mau membayar, jadi mereka memaksa mereka untuk membayar dengan membocorkan data mereka ke publik," kata Hulquist. "Itu adalah proposisi yang tidak diinginkan banyak organisasi." Email yang bocor dan informasi kepemilikan lainnya, katanya, bisa jauh lebih merusak bagi beberapa perusahaan daripada sekadar membayar. Itu dapat membuka mereka terhadap masalah hukum atau akhirnya menyakiti merek mereka.
Peretas lain hanya meminta pembayaran tanpa memasang ransomware . Itulah yang terjadi selama serangan di Houston Rockets pada bulan April. Tidak ada ransomware yang dipasang di jaringan tim NBA, tetapi kelompok peretas Babuk mengancam akan menerbitkan kontrak dan perjanjian kerahasiaan yang diklaimnya dicuri dari sistem tim jika tidak membayar.
Apa yang Pemerintah Lakukan?
Hulquist mengatakan masih banyak yang bisa dilakukan pemerintah. "Kami sudah tahu masalah ini berkembang selama beberapa waktu sekarang dan mereka akhirnya sekarang menganggapnya serius dan meningkatkan upaya mereka," katanya.
Dia, tentu saja, mengacu pada beberapa inisiatif baru yang ditetapkan oleh pemerintahan Biden dalam menanggapi lonjakan serangan ransomware. Pada 12 Mei, Presiden Biden menandatangani perintah eksekutif yang dirancang untuk meningkatkan keamanan siber di jaringan pemerintah federal. Di antara tindakan eksekutifnya, ia akan membentuk Dewan Peninjau Keamanan Siber yang meniru Dewan Keselamatan Transportasi Nasional (NTSB). Panel kemungkinan akan mencakup pakar publik dan swasta yang akan memeriksa insiden dunia maya yang serupa dengan bagaimana NTSB menyelidiki kecelakaan.
Anne Neuberger, wakil asisten Biden dan wakil penasihat keamanan nasional untuk siber dan teknologi baru, juga merilis surat terbuka pada 2 Juni yang ditujukan kepada "Eksekutif Perusahaan dan Pemimpin Bisnis."
Di dalamnya dia mengatakan bahwa sektor swasta memiliki tanggung jawab untuk melindungi dari ancaman dunia maya dan bahwa organisasi "harus menyadari bahwa tidak ada perusahaan yang aman dari sasaran ransomware, terlepas dari ukuran atau lokasinya ... Kami mendesak Anda untuk menganggap serius kejahatan ransomware dan memastikan pertahanan siber perusahaan Anda cocok dengan ancamannya."
Bagaimana Melindungi Perusahaan Anda
Apa yang dapat Anda lakukan untuk memastikan jaringan Anda aman? Cybersecurity and Information Security Agency (CISA) dan FBI 11 Mei merilis praktik terbaik untuk mencegah gangguan bisnis dari serangan ransomware. Di dalamnya mereka mencantumkan enam mitigasi yang dapat dilakukan perusahaan sekarang untuk mengurangi risiko disusupi oleh ransomware:
- Memerlukan otentikasi multifaktor untuk akses jarak jauh ke teknologi operasional (OT) dan jaringan TI.
- Aktifkan filter spam yang kuat untuk mencegah email phishing menjangkau pengguna akhir. Filter email yang berisi file yang dapat dieksekusi agar tidak menjangkau pengguna akhir.
- Menerapkan program pelatihan pengguna dan serangan simulasi untuk spearphishing guna mencegah pengguna mengunjungi situs web berbahaya atau membuka lampiran berbahaya dan memperkuat respons pengguna yang sesuai terhadap email spearphishing.
- Filter lalu lintas jaringan untuk melarang komunikasi masuk dan keluar dengan alamat IP berbahaya yang diketahui. Cegah pengguna mengakses situs web berbahaya dengan menerapkan daftar blokir URL dan/atau daftar yang diizinkan.
- Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware pada aset jaringan TI, secara tepat waktu. Pertimbangkan untuk menggunakan sistem manajemen patch terpusat; menggunakan strategi penilaian berbasis risiko untuk menentukan aset dan zona jaringan PL mana yang harus berpartisipasi dalam program manajemen patch.
- Batasi akses ke sumber daya melalui jaringan, terutama dengan membatasi protokol desktop jarak jauh (RDP), yang merupakan protokol komunikasi jaringan yang aman untuk manajemen jarak jauh. Setelah menilai risiko, jika RDP dianggap perlu secara operasional, batasi sumber asal dan perlu autentikasi multifaktor.
Hulquist mengatakan seluruh tujuan permainan sekarang adalah untuk mencapai target besar yang kemungkinan akan membayar — dan yang harus membayar. Dan menjadikan infrastruktur penting secara offline bukanlah hal yang mustahil. Itu, katanya, AS tidak siap.
"Kecanggihan kami adalah kelemahan kami di ruang ini," katanya. “Itu membuat kita lebih rentan terhadap insiden. Salah satu pelajaran yang harus kita ambil dari semua ini adalah kita tidak siap untuk perang dunia maya. Kita tahu bahwa mereka telah menargetkan perawatan kesehatan dan kemampuan penting lainnya. Semua orang belajar dari ini. "
Sekarang Itu Gila
Jadi siapa di balik semua serangan ransomware ini? Ingat SamSam, ransomware yang menjatuhkan Atlanta? Pada tahun 2018, juri agung mendakwa dua orang Iran yang terlibat di dalamnya untuk mendapatkan uang. Tiga ransomware lain — NETWALKER, REvil, dan Darkside — dikenal sebagai RaaS (Ransomware-as-a-Service), yang berarti mereka menawarkan kepada siapa pun yang menyebarkan malware mereka 10 hingga 25 persen dari pembayaran. Darkside dikatakan berada di balik serangan Colonial Pipeline. Operasi ini tampaknya berbasis di Rusia.
