Inilah Fanomena Didalam Serangan SamSam Ransomware di AS
24 June 2018
Add Comment
Rumah sakit, pemerintah kota, dan sekolah menguatkan diri mereka, dengan cemas menyadari bahwa mereka dapat menjadi target berikutnya dari kampanye perusakan dan pemerasan SamSam ransomware yang sedang berlangsung.
Menurut peringatan terbaru yang dikeluarkan oleh Departemen Kesehatan dan Layanan Kemanusiaan AS Healthcareitnews, varian baru SamSam (juga disebut sebagai SamSa dan Samas) telah dikerahkan di lebih dari delapan serangan cyber yang unik di Amerika Serikat sejauh ini pada tahun 2018. Ini termasuk sebuah sistem kontrol industri (ICS), dua rumah sakit, Kota Atlanta, dan Departemen Transportasi Colorado. Colorado DOT diserang dua kali; butuh enam minggu, jutaan dolar, dan ratusan spesialis keamanan siber, termasuk FBI, untuk mendapatkan departemen (2.000 komputer) kembali ke fungsionalitas 80%. Apa yang akan terjadi pada organisasi dengan sumber daya yang lebih sedikit setelah serangan SamSam?
Dalam serangan terbaru yang dilaporkan, jaringan penyedia perawatan kesehatan di Indiana menemukan itu telah dikompromikan pada 17 Mei dan sekarang bekerja dengan FBI; itu tidak mengungkapkan apakah itu membayar tebusan. Memang, banyak korban sektor publik yang memutuskan bahwa lebih baik untuk mengakui tuntutan hacker dengan segera daripada mengambil risiko waktu pemulihan yang diperpanjang (belum lagi komplikasi). Karena ketergantungan pada data real-time dan sistem jaringan menjadi norma, kecepatan pemulihan sangat penting. Ransomware memanfaatkan kerentanan ini untuk mendapatkan keuntungan finansial.
SamSam dan variannya, aktif sejak 2016, memiliki kesamaan yang nyata; karena lebih banyak serangan diselidiki, kami telah mendapatkan wawasan tentang taktik mereka. Kampanye SamSam tidak menargetkan perusahaan yang paling menguntungkan. Sebaliknya, mereka memeras organisasi-organisasi yang hampir tidak memiliki toleransi untuk waktu henti: sektor sipil yang berhubungan dengan publik dan organisasi perawatan kesehatan. Tekanan terjadi ketika kehidupan, kesehatan fisik, infrastruktur penting, dan keselamatan publik beresiko. Semakin lama waktu yang dibutuhkan, semakin tinggi taruhannya.
Asumsikan Pelanggaran
Sementara patching biasa, pembaruan keamanan, dan pemantauan yang konsisten dapat menjadi pertahanan yang efektif, mari kita asumsikan yang jelas: Perimeter akhirnya akan dilanggar. SamSam penyerang mengkhususkan diri dalam pemindaian untuk eksploitasi dan kerentanan yang diketahui - protokol jaringan publik, khususnya - ketika menargetkan korban. Analisis insiden SamSam menunjukkan bahwa ransomware "biasanya digunakan setelah para pelaku ancaman mengeksploitasi kerentanan yang diketahui pada sistem perimeter untuk mendapatkan akses ke jaringan korban."
Para peretas di balik SamSam sangat canggih dan tampaknya belajar lebih banyak trik saat mereka berjalan. Skema terbaru mereka adalah menyebarkan ribuan salinan malware di satu jaringan sekaligus dan kemudian meminta uang tebusan "per komputer" atau "diskon volume" untuk memperbaiki apa yang telah mereka rusak.
Melihat lebih dekat bagaimana penyerang ransomware menggunakan alat jaringan dan identitas dicuri setelah mereka berada di dalam jaringan untuk mengubah kompromi tingkat perangkat menjadi penghapusan tingkat perusahaan. Menurut Verizon 2018 Data Breach Investigations Repost, penggunaan kredensial yang dicuri adalah No 1 tindakan penyerang paling umum mengambil selama pelanggaran yang sukses. Penyalahgunaan privilege adalah yang keempat dalam daftar.
Pemerhati keamanan mengatakan, SamSam mengikuti pedoman ini. Ini menggunakan alat seperti Mimikatz untuk mencuri kredensial pengguna yang valid dan alat manajemen TI umum untuk memindahkan malware ke host baru. Penyerang dan malware mereka semakin bergantung pada Mimikatz dan alat umum lainnya, seperti PsExec - yang terkait dengan segala sesuatu mulai dari malware PoS hingga webshell - untuk menyebar melalui jaringan dan melakukan kerusakan. Setelah peretas mengompromikan serangkaian kredensial istimewa, mereka menggunakan identitas yang dicuri untuk mengakses aset tambahan dalam jaringan. Selanjutnya, penyerang menggunakan alat administrator yang sah, seperti PsExec atau WMIexec, untuk menjalankan kode dari jarak jauh pada mesin tambahan.
Inovasi Hacker
Ketika datang untuk merangkai kerentanan untuk menghindari deteksi, memperpanjang waktu tinggal, dan menginfeksi lebih banyak mesin, peretas bersifat inovatif. Misalnya, Remote Desktop Protocol (RDP), komponen Microsoft standar, telah diidentifikasi sebagai titik lemah yang dicari peretas karena menyediakan saluran penyerangan yang mudah. Yang harus mereka lakukan hanyalah meretas kata sandi, dan mereka bebas bergerak secara lateral, mengeksekusi malware, dan mengenkripsi data.
Demikian pula, peretas memanfaatkan kerentanan dalam Microsoft's credential protocol (CredSSP), bersama dengan RDP dan distributed computing environment/remote procedure call (DCE/RPC) layanan aplikasi, dalam banyak cara yang sama. RDP sangat berguna sehingga peretas telah membuat basis data yang berisi lokasi dan atribut sistem yang menjalankan RDP dan menjual rekaman ke aktor jahat lainnya.
Alat-alat ini sulit untuk masuk daftar hitam, apalagi mengendalikan. Misalnya, Mimikatz bergantung pada Windows NT LAN Manager (NTLM) untuk teknik seperti pass-the-hash. Tantangan untuk tim TI adalah bahwa, dengan desain, hampir semua protokol Windows dapat diturunkan ke NTLM. Alat seperti PsExec menggunakan remote procedure call (RPC), yang juga secara historis sulit dikontrol di sebagian besar perusahaan.
Kabar baiknya adalah bahwa inovasi sekarang memungkinkan organisasi untuk langsung menganalisis protokol ini, melihat kelainan, dan menantangnya secara real time. Misalnya, lalu lintas internal yang mencurigakan dapat memicu tantangan otentikasi multifaktor yang harus dilalui pengguna sebelum akses diberikan. Dengan mengendalikan protokol ini, admin dapat menonaktifkan alat kunci kerangka yang digunakan penyerang untuk mencuri identitas dan menyebar ke mesin baru. Mungkin tidak mungkin untuk mencegah setiap infeksi, tetapi selalu lebih baik untuk menangkap mereka lebih awal dan memasukkan mereka ke dalam. Tidak ada alasan untuk memudahkan orang jahat untuk menjatuhkan seluruh organisasi.
SamSam bergantung pada kerentanan yang diketahui. Untuk membela organisasi Anda, jangan lupakan dasar-dasar keamanan. Pastikan patch dan konfigurasi sudah diperbarui. Simpan kata sandi yang kuat dan sering mengubahnya. Batasi akun istimewa dan gunakan protokol yang rentan hanya jika diperlukan. Segmen jaringan mengandung kerusakan dan memudahkan pemulihan.
Yang terpenting, fokuslah pada apa yang terjadi di dalam jaringan Anda secara real time. Pantau dan kontrol akses ke kredensial yang sah dan alat jaringan dengan mendeteksi pola anomali dan penggunaan abnormal yang menantang. Itu akan membuat SamSam dan variannya tidak efektif atau, setidaknya, mencegah mereka menyebar seperti jamur lendir melalui jaringan Anda.
Source: 1 / 2 / 3 / 4 / 5 / 6 / 7 / 8 / 9 /
0 Response to "Inilah Fanomena Didalam Serangan SamSam Ransomware di AS"
Post a Comment