Apa itu ransomware?

Dalam praktiknya, serangan ransomware memblokir akses ke data Anda sampai tebusan dibayarkan.

Bahkan, ransomware adalah jenis malware atau serangan keamanan cyber pengelabuan yang menghancurkan atau mengenkripsi file dan folder di komputer, server, atau perangkat.

Setelah perangkat atau file dikunci atau dienkripsi, penjahat cyber dapat memeras uang dari pemilik bisnis atau perangkat dengan imbalan kunci untuk membuka kunci data terenkripsi. Tetapi bahkan ketika dibayar, penjahat cyber mungkin tidak pernah memberikan kunci kepada pemilik bisnis atau perangkat dan menghentikan akses secara permanen.

Microsoft Copilot for Security memanfaatkan AI untuk membantu mengurangi serangan ransomware. Untuk solusi Microsoft lainnya untuk ransomware, kunjungi pustaka solusi Ransomware kami.

Bagaimana cara kerja serangan ransomware?

Ransomware dapat diotomatisasi atau melibatkan tangan manusia pada keyboard - serangan yang dioperasikan manusia, seperti yang terlihat dalam serangan baru-baru ini menggunakan ransomware LockBit.

Serangan ransomware yang dioperasikan manusia melibatkan tahapan berikut:

1. Kompromi awal - Pelaku ancaman pertama kali mendapatkan akses ke sistem atau lingkungan setelah periode pengintaian untuk mengidentifikasi kelemahan dalam pertahanan.

2. Persistensi dan penghindarian pertahanan - Pelaku ancaman menetapkan pijakan dalam sistem atau lingkungan menggunakan backdoor atau mekanisme lain yang beroperasi secara diam-diam untuk menghindari deteksi oleh tim respons insiden.

3. Gerakan lateral - Pelaku ancaman menggunakan titik awal entri untuk bermigrasi ke sistem lain yang terhubung ke perangkat atau lingkungan jaringan yang disusupi.

4. Akses kredensial - Pelaku ancaman menggunakan halaman masuk palsu untuk memanen kredensial pengguna atau sistem.

5. Pencurian data - Pelaku ancaman mencuri data keuangan atau data lain dari pengguna atau sistem yang disusupi.

6. Dampak - Pengguna atau organisasi yang terpengaruh mungkin mengalami kerusakan material atau reputasi.

Malware umum yang digunakan dalam kampanye ransomware

• Qakbot – Menggunakan phishing untuk menyebarkan tautan berbahaya, lampiran berbahaya, dan untuk menghilangkan payload berbahaya seperti Cobalt Strike Beacon

• Ryuk – Enkripsi data biasanya menargetkan Windows

• Trickbot – Telah menargetkan aplikasi Microsoft seperti Excel dan Word. Trickbot biasanya dikirimkan melalui kampanye email yang menggunakan peristiwa saat ini atau umpan keuangan untuk memikat pengguna untuk membuka lampiran file berbahaya atau mengklik tautan ke situs web yang menghosting file berbahaya. Sejak 2022, mitigasi kampanye Microsoft menggunakan malware ini tampaknya telah mengganggu kegunaannya.

Aktor ancaman yang lazim terkait dengan kampanye ransomware

• LockBit – Kampanye ransomware-as-a-service (RaaS) yang termotivasi secara finansial dan pelaku ancaman ransomware paling produktif dalam periode waktu 2023-24
• Black Basta – Mendapatkan akses melalui email pengelabuan tombak dan menggunakan PowerShell untuk meluncurkan payload enkripsi

Bagaimana Microsoft dapat membantu setelah serangan dimulai

Untuk membantu mengurangi serangan ransomware yang sedang berlangsung, Respons Insiden Microsoft dapat memanfaatkan dan menyebarkan Microsoft Defender untuk Identitas — solusi keamanan berbasis cloud yang membantu mendeteksi dan merespons ancaman terkait identitas. Membawa pemantauan identitas ke dalam respons insiden lebih awal mendukung tim operasi keamanan organisasi yang terpengaruh untuk mendapatkan kembali kontrol. Respons Insiden Microsoft menggunakan Defender for Identity untuk membantu mengidentifikasi cakupan insiden dan akun yang terkena dampak, melindungi infrastruktur penting, dan mengeluarkan pelaku ancaman. Tim respons kemudian membawa Microsoft Defender untuk Titik Akhir untuk melacak gerakan pelaku ancaman dan mengganggu upaya mereka untuk menggunakan akun yang disusupi untuk masuk kembali ke lingkungan. Setelah berisi insiden andregaining dan kontrol administratif penuh atas lingkungan, Microsoft Incident Response berkolaborasi dengan pelanggan untuk membantu mencegah serangan cyber di masa mendatang.

Serangan ransomware otomatis

Serangan ransomware komoditas sering kali otomatis. Serangan cyber ini dapat menyebar seperti virus, menginfeksi perangkat melalui metode seperti pengelabuan email dan pengiriman malware, dan memerlukan remediasi malware.

Oleh karena itu, Anda dapat melindungi sistem email Anda menggunakan Microsoft Defender untuk Office 365 yang melindungi dari malware dan pengiriman phishing. Microsoft Defender untuk Titik Akhir bekerja bersama Defender untuk Office 365 untuk secara otomatis mendeteksi dan memblokir aktivitas mencurigakan di perangkat Anda, sementara Microsoft Defender XDR mendeteksi malware dan upaya phishing lebih awal.

Serangan ransomware yang dioperasikan manusia

Ransomware yang dioperasikan manusia adalah hasil dari serangan aktif oleh penjahat cyber yang menyusup ke infrastruktur IT lokal atau cloud organisasi, meningkatkan hak istimewa mereka, dan menyebarkan ransomware ke data penting.

Serangan "hands-on-keyboard" ini biasanya menargetkan organisasi daripada satu perangkat.

Dioperasikan manusia juga berarti ada pelaku ancaman manusia menggunakan wawasan mereka tentang sistem umum dan kesalahan konfigurasi keamanan. Mereka bertujuan untuk menyusup ke organisasi, menavigasi jaringan, dan beradaptasi dengan lingkungan dan kelemahannya.

Keunggulan dari serangan ransomware yang dioperasikan manusia ini biasanya mencakup pencurian info masuk dan gerakan lateral dengan peningkatan hak istimewa dalam akun yang dicuri.

Aktivitas mungkin berlangsung selama jendela pemeliharaan dan melibatkan kesenjangan konfigurasi keamanan yang ditemukan oleh penjahat cyber. Tujuannya adalah penyebaran payload ransomware ke sumber daya apa pun yang berdampak pada bisnis tinggi yang dipilih pelaku ancaman.

Penting

Serangan ini dapat menjadi bencana bagi operasi bisnis dan sulit dibersihkan, membutuhkan pengeluaran musuh lengkap untuk melindungi dari serangan di masa depan. Tidak seperti ransomware komoditas yang biasanya hanya memerlukan remediasi malware, ransomware yang dioperasikan manusia akan terus mengancam operasi bisnis Anda setelah pertemuan awal.

Dampak dan kemungkinan serangan ransomware yang dioperasikan manusia akan terus berlanjut

Perlindungan ransomware untuk organisasi Anda

Pertama, cegah pengiriman phishing dan malware dengan Microsoft Defender untuk Office 365 untuk melindungi dari pengiriman malware dan phishing, Microsoft Defender untuk Titik Akhir untuk secara otomatis mendeteksi dan memblokir aktivitas mencurigakan di perangkat Anda, dan Microsoft Defender XDR untuk mendeteksi malware dan upaya phishing lebih awal.

Untuk pandangan komprehensif tentang ransomware dan pemerasan dan cara melindungi organisasi Anda, gunakan informasi dalam presentasi PowerPoint Rencana Project Mitigasi Ransomware yang Dioperasikan Manusia.

Ikuti pendekatan Respons Insiden Microsoft untuk pencegahan dan mitigasi ransomware.

1. Menilai situasi dengan menganalisis aktivitas mencurigakan yang memperingatkan tim Anda tentang serangan tersebut.

2. Jam/tanggal berapa Anda pertama kali mengetahui insiden tersebut? Log apa yang tersedia dan apakah ada indikasi bahwa aktor saat ini mengakses sistem?

3. Identifikasi aplikasi lini bisnis (LOB) yang terpengaruh, dan dapatkan sistem yang terkena dampak kembali online. Apakah aplikasi yang terpengaruh memerlukan identitas yang mungkin telah disusupi?

4. Apakah cadangan aplikasi, konfigurasi, dan data tersedia dan diverifikasi secara teratur menggunakan latihan pemulihan?

5. Tentukan proses pemulihan kompromi (CR) untuk menghapus pelaku ancaman dari lingkungan.

Berikut adalah ringkasan panduan Rencana Proyek Mitigasi Ransomware yang Dioperasikan Manusia Microsoft:

Ringkasan panduan dalam Rencana Proyek Mitigasi Ransomware yang Dioperasikan Manusia

• Taruhan serangan berbasis ransomware dan pemerasan tinggi.
• Namun, serangan memiliki kelemahan yang dapat mengurangi kemungkinan Anda diserang.
• Ada tiga langkah untuk mengonfigurasi infrastruktur Anda untuk mengeksploitasi kelemahan serangan.

Untuk tiga langkah untuk mengeksploitasi kelemahan serangan, lihat solusi Melindungi organisasi Anda dari ransomware dan pemerasan untuk mengonfigurasi infrastruktur TI Anda dengan cepat untuk perlindungan terbaik:

1. Siapkan organisasi Anda untuk pulih dari serangan tanpa harus membayar tebusan.
2. Batasi cakupan kerusakan serangan ransomware dengan melindungi peran istimewa.
3. Jadikan lebih sulit bagi pelaku ancaman untuk mengakses lingkungan Anda dengan menghapus risiko secara bertahap.

Unduh poster Lindungi organisasi Anda dari ransomware untuk gambaran umum tiga fase sebagai lapisan perlindungan terhadap serangan ransomware.

Sumber daya pencegahan ransomware tambahan

Informasi utama dari Microsoft:

• Tren ransomware terbaru dari Microsoft, blog ransomware terbaru Microsoft

• 2023 Laporan Pertahanan Digital Microsoft Microsoft 365:

• Menyebarkan perlindungan ransomware untuk penyewa Microsoft 365 Anda

Microsoft Defender XDR:

• Menemukan ransomware dengan perburuan lanjutan

Aplikasi Microsoft Defender untuk Cloud:

• Membuat kebijakan deteksi anomali di Defender untuk Cloud Apps

Microsoft Azure:

• Azure Defenses untuk Serangan Ransomware

Microsoft Copilot for Security:

• Melindungi dari serangan ransomware yang dioperasikan manusia dengan Microsoft Copilot for Security

Strategi mitigasi ransomware kunci OpenAI, dalam kata-kata ChatGPT sendiri, meliputi:

1. Kurasi data pelatihan

2. Lapisan dan filter keamanan

3. Pengujian empiris dan tim merah

4. Pemantauan berkelanjutan

5. Penyelarasan dan penelitian keamanan

6. Pelaporan dan umpan balik komunitas

7. Kemitraan dan kebijakan

Untuk informasi lebih rinci, lihat dokumentasi resmi OpenAI tentang pendekatan mereka terhadap keselamatan AI dan penyalahgunaan mitigasi.

Sumber daya mitigasi ransomware Microsoft Security:

Lihat daftar terbaru artikel ransomware di Blog Keamanan Microsoft.

• Menavigasi ancaman ransomware terbaru (Juni 2024)