HTCinside


Operator Ransomware Bersembunyi di Jaringan Anda Setelah Serangan Mereka

Ketika sebuah perusahaan mengalamiserangan ransomware, banyak yang percaya bahwa penyerang dengan cepat menyebarkan dan meninggalkan ransomware, sehingga mereka tidak ketahuan. Sayangnya, kenyataannya sangat berbeda karena aktor dalam ancaman tidak menyerah begitu cepat atas sumber daya sehingga mereka bekerja keras untuk mengendalikannya.

Sebaliknya, serangan ransomware berjalan dari hari ke bulan dari waktu ke waktu, dimulai dengan masuknya operator ransomware di jaringan.

Pelanggaran ini disebabkan oleh terbukanya layanan desktop jarak jauh, kerentanan pada perangkat lunak VPN, atau akses jarak jauh oleh malware seperti TrickBot, Dridex, dan QakBot.

Begitu mereka memiliki akses, mereka menggunakan alat seperti Mimikatz, PowerShell Empire, PSExec, dan lainnya untuk mengumpulkan informasi koneksi dan menyebarkannya secara lateral ke seluruh jaringan.

Ketika mereka mengakses komputer di jaringan, mereka menggunakan kredensial ini untuk mencuri file tidak terenkripsi dari perangkat cadangan dan server sebelum serangan ransomware terjadi.

Setelah serangan terjadi, korban melaporkan kepada BleepingComputer bahwa operator ransomware tidak terlihat, tetapi tetap saja, jaringan mereka dalam bahaya.
Keyakinan itu jauh dari kebenaran, sebagaimana dibuktikan oleh serangan baru-baru ini oleh operator Maze Ransomware.

Membaca -Peneliti Meretas Siri, Alexa, dan Google Home Dengan Menyorotkan Laser Pada Mereka

Labirin terus mencuri file setelah serangan ransomware

Operator Maze Ransomware baru-baru ini mengumumkan di situs kebocoran data mereka bahwa mereka telah meretas jaringan anak perusahaan ST Engineering yang disebut VT San Antonio Aerospace (VT SAA). Hal yang menakutkan dari kebocoran ini adalah bahwa Maze telah merilis dokumen yang berisi laporan departemen TI korban tentang serangan ransomware-nya.

Dokumen yang dicuri menunjukkan bahwa Maze masih berada di jaringannya dan terus memata-matai file perusahaan yang dicuri sementara penyelidikan serangan berlanjut. Akses terus menerus ini tidak biasa untuk jenis serangan ini. Chief engineer McAfee dan manajer investigasi cyber John Fokker

mengatakan kepada BleepingComputer bahwa beberapa penyerang membaca email korban saat negosiasi ransomware sedang berlangsung.
“Kami menyadari kasus di mana pemain ransomware tetap berada di jaringan korban setelah menyebarkan ransomware mereka. Dalam kasus ini, penyerang mengenkripsi cadangan korban setelah serangan awal atau selama negosiasi tertinggal. Tentu saja, penyerang masih bisa mengaksesnya dan membaca email korban.

Membaca -Peretas memanfaatkan ketakutan akan virus Corona untuk mengelabui pengguna agar mengklik email berbahaya

Saran Ahli

Setelah serangan ransomware terdeteksi, perusahaan harus terlebih dahulu mematikan jaringannya dan komputer yang menjalankannya. Tindakan ini mencegah enkripsi data berkelanjutan dan menolak akses penyerang ke sistem.
Setelah ini selesai, perusahaan harus menghubungi penyedia keamanan siber untuk melakukan penyelidikan menyeluruh terhadap serangan dan pemindaian semua perangkat internal dan publik.

Pemindaian ini mencakup pemindaian perangkat perusahaan untuk mengidentifikasi infeksi terus-menerus, kerentanan, kata sandi yang lemah, dan alat berbahaya yang ditinggalkan oleh operator ransomware.

Asuransi siber korban mencakup sebagian besar perbaikan dan penyelidikan dalam banyak kasus.

Fokker dan Vitali Kremez, Ketua Intel Advanced, juga memberikan beberapa tips dan strategi tambahan untuk memperbaiki serangan.

“Serangan ransomware perusahaan yang paling signifikan hampir selalu melibatkan kompromi lengkap dari jaringan korban, dari server cadangan hingga pengontrol domain. Dengan kontrol penuh atas suatu sistem, pelaku ancaman dapat dengan mudah menonaktifkan pertahanan dan mengimplementasikan ransomware mereka.

“Tim Incident Response (IR) yang mengalami gangguan besar seperti itu harus berasumsi bahwa penyerang masih berada di jaringan sampai terbukti bersalah. Terutama, ini berarti memilih saluran komunikasi yang berbeda (tidak terlihat oleh aktor ancaman) untuk membahas upaya IR yang sedang berlangsung. ”

“Penting untuk dicatat bahwa penyerang telah memindai Active Directory korban untuk menghapus akun backdoor yang tersisa. Mereka harus melakukan pemindaian AD penuh, ”kata Fokker kepada BleepingComputer.

Kremez juga mengusulkan saluran komunikasi aman yang terpisah dan saluran penyimpanan tertutup di mana data yang terkait dengan survei dapat disimpan.

Perlakukan serangan ransomware sebagai pelanggaran data, dengan asumsi penyerang mungkin masih berada di jaringan, jadi korban harus bekerja dari bawah ke atas, mencoba untuk mendapatkan bukti forensik yang mengkonfirmasi atau membatalkan hipotesis. Ini sering mencakup analisis forensik penuh dari infrastruktur jaringan, dengan fokus pada akun istimewa. Pastikan Anda memiliki rencana kelangsungan bisnis untuk memiliki penyimpanan aman yang terpisah dan saluran komunikasi (infrastruktur berbeda) selama evaluasi forensik,” kata Kremez.

Dari bawah ke atas, cobalah untuk mendapatkan bukti forensik yang mengkonfirmasi atau membatalkan hipotesis. Ini sering mencakup analisis forensik penuh dari infrastruktur jaringan, dengan fokus pada akun istimewa. Pastikan Anda memiliki rencana kelangsungan bisnis untuk memiliki penyimpanan aman yang terpisah dan saluran komunikasi (infrastruktur berbeda) selama evaluasi forensik,” kata Kremez.

Kremez menemukan bahwa reimagining perangkat pada jaringan yang rentan direkomendasikan. Namun, itu mungkin tidak cukup karena penyerang cenderung memiliki akses penuh ke kredensial jaringan yang dapat digunakan untuk serangan lain.
“Korban berpotensi menginstal ulang mesin dan server. Namun, Anda harus menyadari bahwa penjahat mungkin telah mencuri kredensial. Instalasi ulang sederhana mungkin tidak cukup. “lanjut Kremez.

Pada akhirnya, penting untuk mengasumsikan bahwa penyerang cenderung terus memantau pergerakan korban bahkan setelah serangan.

Penyadapan ini tidak hanya dapat menghalangi pembersihan jaringan yang rusak tetapi juga dapat mempengaruhi taktik negosiasi jika penyerang membaca email korban dan tetap berada di depan.