FOKUS.CO.ID – Memahami bagaimana ransomware menyebar adalah kunci untuk menghindari menjadi korban serangan.
Daftar Isi
Ransomware adalah ancaman yang meningkat dan semakin canggih, dan tampaknya tidak ada yang kebal. Dengan pembuat ransomware baru yang terus meningkatkan permainan mereka untuk menghindari deteksi dengan menuntut bentuk mata uang kripto baru, seperti DASH, atau mencuri kata sandi dan dompet Bitcoin, mungkin sulit bagi rata-rata pengguna untuk memahami bagaimana mereka terinfeksi sejak awal. mereka menjadi korban serangan.
Ada sejumlah vektor serangan yang dapat dieksploitasi ransomware untuk mengambil alih komputer atau server. Ini adalah empat cara paling umum ransomware menginfeksi korbannya.
1. Email phishing
Metode paling umum bagi hacker untuk menyebarkan ransomware adalah melalui email phishing. hacker menggunakan email phishing yang dibuat dengan hati-hati untuk mengelabui korban agar membuka lampiran atau mengklik tautan yang berisi file berbahaya.
File itu bisa datang dalam berbagai format, termasuk PDF, file ZIP, dokumen Word atau JavaScript. Dalam kasus dokumen Word, hacker paling sering menipu pengguna menjadi “Mengaktifkan Makro” saat membuka dokumen.
Ini memungkinkan hacker untuk menjalankan skrip yang mengunduh dan mengeksekusi file executable berbahaya (EXE) dari server web eksternal. EXE akan mencakup fungsi yang diperlukan untuk mengenkripsi data pada mesin korban.
Setelah data dienkripsi, dan ransomware mendapatkan pijakan di satu mesin, varian ransomware yang lebih canggih akan menyebar ke mesin lain di jaringan (PC dan server).
Yang diperlukan hanyalah satu orang secara naif membuka lampiran di email phishing, dan seluruh organisasi dapat terinfeksi.
Korban eksploitasi ransomware populer menggunakan email phishing meliputi:
- Locky
- Cerber
- Nemukoda
2. Protokol Desktop Jarak Jauh
Mekanisme yang semakin populer di mana hacker menginfeksi korban adalah melalui Remote Desktop Protocol (RDP).
Sesuai dengan namanya, Remote Desktop Protocol dibuat untuk memungkinkan administrator TI mengakses mesin pengguna dari jarak jauh dengan aman untuk mengonfigurasinya, atau untuk sekadar menggunakan mesin. RDP biasanya berjalan di atas port 3389.
Meskipun membuka pintu ke perangkat untuk penggunaan yang sah memiliki banyak manfaat, ini juga memberikan peluang bagi aktor jahat untuk mengeksploitasinya untuk penggunaan yang tidak sah.
Pada tahun 2017, ditentukan bahwa lebih dari 10 juta mesin mengiklankan diri mereka sendiri ke internet publik dengan port 3389 terbuka – yaitu, mereka menjalankan RDP lebih dari 3389.
Peretas dapat dengan mudah mencari mesin tersebut di mesin pencari seperti Shodan.io untuk menemukan perangkat yang rentan terhadap infeksi.
Setelah mesin target diidentifikasi, peretas biasanya mendapatkan akses dengan memaksa kata sandi sehingga mereka dapat masuk sebagai administrator.
Alat peretas kata sandi sumber terbuka membantu mencapai tujuan ini. Alat populer, termasuk Cain and Able, John the Ripper, dan Medusa, memungkinkan penjahat dunia maya dengan cepat dan otomatis mencoba beberapa kata sandi untuk mendapatkan akses.
Begitu mereka masuk sebagai administrator, peretas memiliki kendali penuh atas mesin dan dapat memulai operasi enkripsi ransomware.
Untuk membuat kerusakan tambahan, beberapa peretas akan menonaktifkan perangkat lunak keamanan titik akhir yang berjalan di mesin atau menghapus cadangan file Windows sebelum menjalankan ransomware.
Ini menciptakan lebih banyak alasan bagi korban untuk membayar uang tebusan, karena opsi cadangan Windows mungkin tidak ada lagi.
Baca juga: Ransomware: Cara kerjanya dan Cara Menghapusnya
3. Unduhan drive-by dari situs web yang disusupi
Jalur masuk lain yang digunakan penyerang untuk mengirimkan ransomware adalah melalui apa yang dikenal sebagai unduhan drive-by. Ini adalah unduhan berbahaya yang terjadi tanpa sepengetahuan pengguna saat mereka mengunjungi situs web yang disusupi.
Penyerang sering kali memulai unduhan drive-by dengan memanfaatkan kerentanan yang diketahui dalam perangkat lunak situs web yang sah.
Mereka kemudian menggunakan kerentanan ini untuk menyematkan kode berbahaya di situs web atau untuk mengarahkan korban ke situs lain yang mereka kendalikan, yang menghosting perangkat lunak yang dikenal sebagai kit eksploit.
Kit eksploitasi memberi peretas kemampuan untuk secara diam-diam memindai perangkat yang mengunjungi untuk mengetahui kelemahan spesifiknya, dan, jika ditemukan, mengeksekusi kode di latar belakang tanpa pengguna mengklik apa pun.
Pengguna yang tidak curiga kemudian akan tiba-tiba dihadapkan dengan catatan tebusan, memperingatkan mereka tentang infeksi dan menuntut pembayaran untuk file yang dikembalikan.
Meskipun ini mungkin terdengar seperti sesuatu yang hanya ditemukan di situs kecil, di bawah radar situs, unduhan drive-by sebenarnya tidak terbatas pada situs web yang tidak jelas.
Mereka telah terjadi di beberapa situs paling populer di dunia termasuk New York Times, BBC, dan NFL – semua ini ditargetkan dalam kampanye ransomware melalui iklan yang dibajak.
4. USB dan Media yang Dapat Dilepas
Cara lain yang digunakan ransomware untuk menembus lingkungan adalah melalui perangkat USB. Pada tahun 2016, polisi Australia mengeluarkan peringatan kepada warga tentang drive USB yang berisi perangkat lunak berbahaya yang muncul di kotak surat.
Drive USB menyamar sebagai aplikasi Netflix promosi, kemudian setelah dibuka ransomware yang disebarkan ke komputer pengguna yang tidak menaruh curiga.
Spora Ransomware yang hebat bahkan menambahkan kemampuan untuk mereplikasi dirinya sendiri ke drive USB dan Removable Media (dalam format file tersembunyi), membahayakan mesin berikutnya di mana perangkat USB dicolokkan.
Ransomware telah menjadi serangan pilihan utama bagi penjahat dunia maya untuk menghasilkan pendapatan.
Sangat mudah untuk membeli di web gelap melalui Ransomware-as-a-Service (RaaS) dan serangan relatif mudah diluncurkan melalui salah satu metode di atas.
Penting bagi organisasi untuk mengenali bagaimana sistem mereka dapat ditargetkan dan secara proaktif mengambil langkah-langkah melalui pendekatan keamanan berlapis untuk menjaga diri mereka tetap terlindungi dan untuk menjaga kelangsungan layanan bisnis mereka.
