Bagikan melalui

Apa itu ransomware?

  • Artikel

Dalam praktiknya, serangan ransomware memblokir akses ke data Anda sampai tebusan dibayarkan.

Bahkan, ransomware adalah jenis malware atau serangan keamanan cyber pengelabuan yang menghancurkan atau mengenkripsi file dan folder di komputer, server, atau perangkat.

Setelah perangkat atau file dikunci atau dienkripsi, penjahat cyber dapat memeras uang dari pemilik bisnis atau perangkat dengan imbalan kunci untuk membuka kunci data terenkripsi. Tetapi bahkan ketika dibayar, penjahat cyber mungkin tidak pernah memberikan kunci kepada pemilik bisnis atau perangkat dan menghentikan akses secara permanen.

Microsoft Copilot for Security memanfaatkan AI untuk membantu mengurangi serangan ransomware. Untuk solusi Microsoft lainnya untuk ransomware, kunjungi pustaka solusi Ransomware kami.

Bagaimana cara kerja serangan ransomware?

Ransomware dapat diotomatisasi atau melibatkan tangan manusia pada keyboard - serangan yang dioperasikan manusia, seperti yang terlihat dalam serangan baru-baru ini menggunakan ransomware LockBit.

Serangan ransomware yang dioperasikan manusia melibatkan tahapan berikut:

  1. Kompromi awal - Pelaku ancaman pertama kali mendapatkan akses ke sistem atau lingkungan setelah periode pengintaian untuk mengidentifikasi kelemahan dalam pertahanan.

  2. Persistensi dan penghindarian pertahanan - Pelaku ancaman menetapkan pijakan dalam sistem atau lingkungan menggunakan backdoor atau mekanisme lain yang beroperasi secara diam-diam untuk menghindari deteksi oleh tim respons insiden.

  3. Gerakan lateral - Pelaku ancaman menggunakan titik awal entri untuk bermigrasi ke sistem lain yang terhubung ke perangkat atau lingkungan jaringan yang disusupi.

  4. Akses kredensial - Pelaku ancaman menggunakan halaman masuk palsu untuk memanen kredensial pengguna atau sistem.

  5. Pencurian data - Pelaku ancaman mencuri data keuangan atau data lain dari pengguna atau sistem yang disusupi.

  6. Dampak - Pengguna atau organisasi yang terpengaruh mungkin mengalami kerusakan material atau reputasi.

Malware umum yang digunakan dalam kampanye ransomware

  • Qakbot – Menggunakan phishing untuk menyebarkan tautan berbahaya, lampiran berbahaya, dan untuk menghilangkan payload berbahaya seperti Cobalt Strike Beacon

  • Ryuk – Enkripsi data biasanya menargetkan Windows

  • Trickbot – Telah menargetkan aplikasi Microsoft seperti Excel dan Word. Trickbot biasanya dikirimkan melalui kampanye email yang menggunakan peristiwa saat ini atau umpan keuangan untuk memikat pengguna untuk membuka lampiran file berbahaya atau mengklik tautan ke situs web yang menghosting file berbahaya. Sejak 2022, mitigasi kampanye Microsoft menggunakan malware ini tampaknya telah mengganggu kegunaannya.

Aktor ancaman yang lazim terkait dengan kampanye ransomware

  • LockBit – Kampanye ransomware-as-a-service (RaaS) yang termotivasi secara finansial dan pelaku ancaman ransomware paling produktif dalam periode waktu 2023-24
  • Black Basta – Mendapatkan akses melalui email pengelabuan tombak dan menggunakan PowerShell untuk meluncurkan payload enkripsi

Serangan ransomware otomatis

Serangan ransomware komoditas sering kali otomatis. Serangan cyber ini dapat menyebar seperti virus, menginfeksi perangkat melalui metode seperti pengelabuan email dan pengiriman malware, dan memerlukan remediasi malware.

Oleh karena itu, Anda dapat melindungi sistem email Anda menggunakan Microsoft Defender untuk Office 365 yang melindungi dari malware dan pengiriman phishing. Microsoft Defender untuk Titik Akhir bekerja bersama Defender untuk Office 365 untuk secara otomatis mendeteksi dan memblokir aktivitas mencurigakan di perangkat Anda, sementara Microsoft Defender XDR mendeteksi malware dan upaya phishing lebih awal.

Serangan ransomware yang dioperasikan manusia

Ransomware yang dioperasikan manusia adalah hasil dari serangan aktif oleh penjahat cyber yang menyusup ke infrastruktur IT lokal atau cloud organisasi, meningkatkan hak istimewa mereka, dan menyebarkan ransomware ke data penting.

Serangan "hands-on-keyboard" ini biasanya menargetkan organisasi daripada satu perangkat.

Dioperasikan manusia juga berarti ada pelaku ancaman manusia menggunakan wawasan mereka tentang sistem umum dan kesalahan konfigurasi keamanan. Mereka bertujuan untuk menyusup ke organisasi, menavigasi jaringan, dan beradaptasi dengan lingkungan dan kelemahannya.

Keunggulan dari serangan ransomware yang dioperasikan manusia ini biasanya mencakup pencurian info masuk dan gerakan lateral dengan peningkatan hak istimewa dalam akun yang dicuri.

Aktivitas mungkin berlangsung selama jendela pemeliharaan dan melibatkan kesenjangan konfigurasi keamanan yang ditemukan oleh penjahat cyber. Tujuannya adalah penyebaran payload ransomware ke sumber daya apa pun yang berdampak pada bisnis tinggi yang dipilih pelaku ancaman.

Penting

Serangan ini dapat menjadi bencana bagi operasi bisnis dan sulit dibersihkan, membutuhkan pengeluaran musuh lengkap untuk melindungi dari serangan di masa depan. Tidak seperti ransomware komoditas yang biasanya hanya memerlukan remediasi malware, ransomware yang dioperasikan manusia akan terus mengancam operasi bisnis Anda setelah pertemuan awal.

Dampak dan kemungkinan serangan ransomware yang dioperasikan manusia akan terus berlanjut

Perlindungan ransomware untuk organisasi Anda

Pertama, cegah pengiriman phishing dan malware dengan Microsoft Defender untuk Office 365 untuk melindungi dari pengiriman malware dan phishing, Microsoft Defender untuk Titik Akhir untuk secara otomatis mendeteksi dan memblokir aktivitas mencurigakan di perangkat Anda, dan Microsoft Defender XDR untuk mendeteksi malware dan upaya phishing lebih awal.

Untuk pandangan komprehensif tentang ransomware dan pemerasan dan cara melindungi organisasi Anda, gunakan informasi dalam presentasi PowerPoint Rencana Project Mitigasi Ransomware yang Dioperasikan Manusia.

Berikut adalah ringkasan panduan:

Ringkasan panduan dalam Rencana Proyek Mitigasi Ransomware yang Dioperasikan Manusia

  • Taruhan serangan berbasis ransomware dan pemerasan tinggi.
  • Namun, serangan memiliki kelemahan yang dapat mengurangi kemungkinan Anda diserang.
  • Ada tiga langkah untuk mengonfigurasi infrastruktur Anda untuk mengeksploitasi kelemahan serangan.

Untuk tiga langkah untuk mengeksploitasi kelemahan serangan, lihat solusi Melindungi organisasi Anda dari ransomware dan pemerasan untuk mengonfigurasi infrastruktur TI Anda dengan cepat untuk perlindungan terbaik:

  1. Siapkan organisasi Anda untuk pulih dari serangan tanpa harus membayar tebusan.
  2. Batasi cakupan kerusakan serangan ransomware dengan melindungi peran istimewa.
  3. Jadikan lebih sulit bagi pelaku ancaman untuk mengakses lingkungan Anda dengan menghapus risiko secara bertahap.

Tiga langkah untuk melindungi dari ransomware dan pemerasan

Unduh poster Lindungi organisasi Anda dari ransomware untuk gambaran umum tiga fase sebagai lapisan perlindungan terhadap serangan ransomware.

Poster

Sumber daya pencegahan ransomware tambahan

Informasi utama dari Microsoft:

Microsoft Defender XDR:

Aplikasi Microsoft Defender untuk Cloud:

Microsoft Azure:

Microsoft Copilot for Security:

Strategi mitigasi ransomware kunci OpenAI, dalam kata-kata ChatGPT sendiri, meliputi:

  1. Kurasi data pelatihan

  2. Lapisan dan filter keamanan

  3. Pengujian empiris dan tim merah

  4. Pemantauan berkelanjutan

  5. Penyelarasan dan penelitian keamanan

  6. Pelaporan dan umpan balik komunitas

  7. Kemitraan dan kebijakan

Untuk informasi lebih rinci, lihat dokumentasi resmi OpenAI tentang pendekatan mereka terhadap keselamatan AI dan penyalahgunaan mitigasi.

Sumber daya mitigasi ransomware Microsoft Security:

Lihat daftar terbaru artikel ransomware di Blog Keamanan Microsoft.