Cara Memulihkan Dari Serangan Ransomware

Serangan Ransomware telah meningkat dua kali lipat sejak paruh pertama tahun ini dan menargetkan lebih dari 50% organisasi di seluruh dunia. Tapi bagaimana cara kerja ransomware dan bagaimana Anda bisa pulih dari serangan?

Ransomware adalah jenis serangan cyber yang mencakup malware. Setelah diunduh ke perangkat pengguna, malware menahan sandera data perusahaan, mengunci pengguna atau membuatnya tidak dapat dijelaskan melalui enkripsi, hingga organisasi membayar uang tebusan untuk memulihkannya.

Penjahat dunia maya diketahui mengeksploitasi ketidakpastian, dan pandemi Coronavirus saat ini adalah contoh sempurna dari situasi yang sangat genting dan bergejolak di seluruh dunia. Sejak awal tahun, organisasi telah dipaksa untuk membuat perubahan besar pada arsitektur TI mereka untuk memungkinkan karyawan bekerja dari rumah. Karena kecepatan yang tidak terduga yang harus mereka gunakan untuk mengimplementasikan perubahan ini, banyak organisasi memiliki celah dalam sistem keamanan mereka yang sangat ingin dimanfaatkan oleh penjahat dunia maya. Lupakan untuk menghapus lambung Anda dan peretas dapat mengirim gelombang serangan untuk menenggelamkan kapal Anda.Dalam analogi ini, pandemi telah menyebabkan banyak lubang intip bocor.  

Pada kuartal ketiga tahun 2020, menurut sebuah studi Check Point , serangan ransomware rata-rata harian meningkat sebesar 50% dibandingkan dengan paruh pertama tahun ini. AS telah melihat jumlah serangan ransomware berlipat ganda, menjadikannya negara ransomware paling bertarget di dunia. Tetapi mereka tidak sendirian – India, Sri Lanka, Rusia dan Turki juga telah melaporkan peningkatan besar dalam serangan.

Kenaikan yang mengkhawatirkan ini didukung oleh survei terbaru oleh SonicWall , yang menemukan peningkatan 40% dalam jumlah serangan ransomware pada kuartal ketiga tahun 2020 dibandingkan dengan kuartal yang sama tahun lalu. Studi yang sama juga menemukan bahwa ransomware Ryuk bertanggung jawab atas sepertiga dari serangan ini, yang semakin sering digunakan penyerang untuk menargetkan penyedia layanan kesehatan.

Sayangnya, insiden serangan tidak hanya meningkat. mereka juga menjadi lebih dan lebih canggih. Karena aktor jahat terus-menerus menemukan cara baru untuk menghindari tingkat keamanan, tidak dapat dihindari bahwa sebagian besar perusahaan akan menghadapi serangan ransomware di beberapa titik. Tapi bagaimana penyusup menemukan jalan mereka ke dalam sistem Anda dari awal dan apa yang dapat Anda lakukan untuk pulih dari serangan ransomware ketika Anda menemukan diri Anda memainkan peran Sinking Sailor? 

Apa itu Ransomware dan bagaimana cara kerjanya?

Ada dua jenis utama ransomware: crypto-ransomware dan locker-ransomware. Crypto-ransomware mengenkripsi data organisasi dan membutuhkan uang tebusan agar file dapat didekripsi dan dikembalikan dengan aman. Locker ransomware bekerja dengan cara yang hampir sama, kecuali bahwa ia mencegah pengguna mengakses file alih-alih mengenkripsinya sebelum meminta tebusan untuk membuka kunci data. Dalam kedua kasus tersebut, penyerang menuntut pembayaran, mengancam akan mempublikasikan informasi sensitif atau menghapus data secara permanen dari sistem jika korban tidak membayar.

Tapi bagaimana ransomware masuk ke sistem Anda?

Yah, itu sering dimulai dengan trojan. Trojan adalah jenis malware yang menipu korban agar percaya bahwa itu tidak berbahaya dengan menyamar sebagai perangkat lunak yang sah. Emotet adalah trojan terkenal yang pertama kali terlihat pada tahun 2014 dan baru-baru ini mengangkat kepalanya dalam serangkaian serangan yang menjadikannya salah satu ancaman berkelanjutan paling luas yang dihadapi organisasi saat ini, menurut peringatan yang dikeluarkan oleh CISA .

Trojan seperti Emotet menyebar terutama melalui spam. Jika penerima membuka lampiran atau mengklik URL, dia tanpa sadar mengunduh trojan, yang kemudian memiliki kekuatan untuk mencuri data sensitif. Namun penyusup juga dapat menggunakannya untuk menyebarkan malware lain, seperti TrickBot atau Qbot. Malware tingkat kedua ini kemudian menyebar ke samping melalui perusahaan, mencuri kredensial, menyebarkan pintu belakang dan, mungkin yang paling penting, mencoba mendapatkan akses ke pengontrol domain.Jika mereka berhasil mendapatkan akses ke pengontrol domain, penyerang kemudian dapat mengembangkan ransomware seperti Ryuk, yang mengenkripsi data organisasi dan meminta tebusan.

Beberapa ransomware, bagaimanapun, tidak memerlukan interaksi pengguna untuk menyebar. Worms seperti WannaCry adalah jenis malware yang mereproduksi sehingga mereka dapat melintasi sistem seperti api tanpa harus terus mentransmisikannya melalui URL atau lampiran berbahaya.

Seberapa besar ancaman Ransomware?

Kita dapat mengatakan dari studi Check Point dan SonicWall bahwa serangan ransomware telah meningkat secara dramatis dalam setahun terakhir, bahkan lebih dalam beberapa bulan terakhir, tetapi penting untuk memahami apa artinya ini bagi tubuh Anda. Pada bulan Mei tahun ini, Sophos merilis sebuah penelitian yang menemukan bahwa 51% dari 5.000 organisasi yang diwawancarai telah terpengaruh oleh ransomware pada tahun lalu. Dari kasus yang dilaporkan ini, 73% penyusup mampu mengenkripsi data organisasi korban.

Dengan jumlah serangan harian di seluruh dunia meningkat hingga 50% pada kuartal terakhir, ini berarti bahwa organisasi hampir tiga kali lebih mungkin diserang tahun ini daripada menghindari semua upaya. Ini juga berarti bahwa setengah dari organisasi di seluruh dunia kemungkinan besar telah mengalami serangan yang berhasil pada kuartal terakhir.

Jadi kita tahu tingkat ancamannya sangat tinggi, tetapi siapa yang paling berisiko terkena serangan ransomware?

“Karena setiap organisasi di dunia modern kita bergantung pada teknologi untuk tetap berjalan, setiap organisasi harus dilindungi dari serangan ransomware,” kata Caroline Seymour, Wakil Presiden, Pemasaran Produk di Zerto .

Berita utama cenderung menampilkan serangan profil tinggi terhadap perusahaan besar yang pada akhirnya menghabiskan biaya miliaran organisasi untuk menyelesaikannya. Tetapi kita sering tidak mendengar tentang 46% bisnis kecil yang menargetkan ransomware (Laporan Investigasi Pelanggaran Data 2020, Verizon). Usaha kecil dan menengah sama berisikonya dengan perusahaan besar dengan banyak kerugian, hanya karena mereka sering kali tidak memiliki anggaran atau infrastruktur untuk berinvestasi dalam platform keamanan yang canggih dan pembaruan teknologi terbaru. Hal ini membuat mereka menjadi sasaran empuk bagi penjahat cyber yang mencari kerentanan untuk dieksploitasi, seperti perangkat lunak yang belum diperbaiki.Serangan ransomware WannaCry tahun 2017 yang terkenal menyebar dengan cara ini: menargetkan organisasi yang tidak merilis patch Windows terbaru. Layanan Kesehatan Nasional Inggris adalah salah satu korban tersebut.

“Baru tahun lalu, [Zerto] melihat ransomware menargetkan organisasi besar dan kecil, perusahaan B2B dan B2C, lembaga pemerintah, dan bahkan organisasi yang hanya mencoba membantu orang, seperti rumah sakit,” kata Seymour. “Penjahat dunia maya tidak melakukan diskriminasi. mereka akan menargetkan organisasi mana pun yang mereka yakini dapat mereka manfaatkan.”

Semua ini berarti bahwa tubuh Anda kemungkinan akan menjadi korban ransomware di beberapa titik. Bisa jadi minggu depan atau beberapa tahun lagi, dan penyusup bisa mengklaim ratusan dolar atau jutaan dolar. Karena itu, penting untuk mengetahui bagaimana bereaksi terhadap serangan ransomware dan langkah-langkah yang perlu Anda ambil untuk memulihkannya.

Bagaimana Memulihkan Dari Serangan Ransomware?

1. Jangan membayar uang tebusan.

Hal pertama yang pertama: jangan membayar uang tebusan . Kecuali Anda memiliki salinan data Anda yang disimpan di tempat lain, maka Anda harus mempertimbangkan biaya kehilangan data sehubungan dengan pembayaran yang diperlukan. Ada beberapa alasan untuk ini:

  1. Ingat Anda berurusan dengan penjahat, di sini. Pembayaran tebusan tidak menjamin bahwa Anda benar-benar akan menerima data Anda kembali.
  2. Anda membuktikan bahwa proses penyusup berhasil, yang akan mendorongnya untuk menargetkan organisasi lain yang, pada gilirannya, akan mengikuti contoh Anda dan membayar – ini adalah lingkaran setan.
  3. Membayar uang tebusan menggandakan biaya menangani serangan . Jika Anda mendapatkan kembali data Anda, malware akan tetap ada di server Anda, jadi Anda masih perlu membersihkannya secara menyeluruh. Anda juga akan membayar untuk waktu henti, waktu orang, biaya perangkat, dan sebagainya, selain uang tebusan.

Penelitian Sophos menemukan bahwa 26% korban ransomware mengembalikan data mereka setelah membayar uang tebusan dan 1% membayar uang tebusan tetapi tidak mendapatkan data mereka kembali. Lima puluh enam persen korban, lebih dari dua kali lipat uang tebusan, memulihkan data mereka melalui cadangan – kami akan kembali ke sana.

2. Laporkan serangannya.

Setelah Anda mengambil napas dalam-dalam dan menjatuhkan dompet Anda, Anda harus melaporkan serangan itu. Ini akan membantu pihak berwenang mengidentifikasi penyerang dan bagaimana mereka memilih target mereka dan mencegah organisasi lain menjadi korban serangan yang sama.

Umumnya, Anda dapat menghubungi polisi setempat, yang akan membawa Anda ke departemen investigasi kejahatan dunia maya. Jika Anda berada di AS, Anda juga dapat melaporkan melalui situs web On Guard Online . di Inggris, melalui Action Fraud .

3. Bersihkan sistem Anda.

Ada beberapa paket perangkat lunak yang tersedia yang mengklaim bahwa mereka dapat menghapus ransomware dari sistem Anda, tetapi ada dua masalah dengan ini. Yang pertama adalah Anda tidak dapat memastikan bahwa seseorang selain penyerang akan dapat menghapus ransomware sepenuhnya. Yang kedua adalah bahwa meskipun sistem Anda berhasil dibersihkan, Anda mungkin tidak dapat mengakses data Anda. Sayangnya, tidak ada alat dekripsi satu ukuran untuk semua untuk setiap jenis ransomware, dan semakin baru dan canggih ransomware, semakin banyak waktu yang dibutuhkan para ahli untuk mengembangkan alat untuk mendekripsi file Anda.

Selain itu, enkripsi melibatkan eksekusi kunci enkripsi dan file asli melalui fungsi bersama untuk memulihkan file asli. Namun, serangan modern menggunakan kunci unik untuk setiap korban, sehingga dibutuhkan waktu bertahun-tahun bahkan untuk superkomputer yang kuat untuk menemukan kunci yang tepat bagi satu korban. TeslaCrypt adalah contoh yang baik untuk ini: ransomware asli hanya membutuhkan satu kunci untuk membuka data banyak korban, tetapi varian serangan modern memungkinkan penjahat untuk menggunakan kunci enkripsi unik untuk setiap korban.

Karena itu, tindakan terbaik adalah menghapus sepenuhnya semua perangkat penyimpanan dan memulai dari awal, menginstal ulang semuanya dari bawah ke atas. Ini akan memastikan bahwa tidak ada jejak ransomware yang tersembunyi di sudut-sudut gelap dan Anda akan memiliki catatan yang bersih untuk memulihkan data Anda.

4. Pulihkan data Anda.

Di sini kita kembali ke backup. Pencadangan data secara tradisional dianggap sebagai masalah kepatuhan terhadap teknologi informasi, yang dilakukan untuk menandai bingkai dan melalui pemeriksaan. Namun, ini menjadi semakin dianggap sebagai masalah keamanan dan untuk alasan yang baik.

“Mencegah serangan siber tidak selalu memungkinkan, tetapi mengurangi dampak itu pasti, jadi pencadangan harus dianggap sebagai masalah keamanan,” jelas Seymour. “Begitu sebuah organisasi menjadi korban ransomware, ia dihadapkan pada dilema: membayar uang tebusan, yang tidak direkomendasikan, atau melanjutkan tanpa data. “Jika organisasi memiliki strategi cadangan yang tepat untuk menghadapi serangan dunia maya, organisasi tersebut dapat pulih dengan cepat dengan mendapatkan akses ke cadangannya dan menghindari waktu henti yang mahal.”

Ada beberapa cara untuk memulihkan data Anda dengan mencadangkan. Yang pertama adalah melakukan pemulihan sistem DIY. Kelebihan: cukup murah dan mudah dibuat. Kekurangan: Mungkin ada jejak malware yang terkubur dalam data yang Anda coba pulihkan dan Anda tidak akan dapat memulihkan file pribadi. Ini berarti bahwa rute ini dapat membawa Anda kembali ke langkah pertama dan, meskipun tidak, Anda tidak akan memiliki akses ke semua yang Anda lewatkan. Inilah sebabnya mengapa Anda harus selalu memastikan bahwa Anda memiliki solusi cadangan yang kuat sehingga Anda dapat menggunakan metode pemulihan kedua: pemulihan bencana dari pihak ketiga.

Solusi pencadangan dan pemulihan merekam satu salinan instan dari semua file, database, dan komputer Anda dan menulis salinan tersebut ke perangkat penyimpanan sekunder yang diisolasi dari komputer lokal Anda. Manfaat di sini termasuk pemulihan yang aman dan terjamin dari semua file Anda dan dukungan vendor eksternal sehingga Anda tidak perlu mengelola pemulihan sendiri. Satu-satunya downside adalah bahwa Anda harus membayar untuk solusi – Anda tidak dapat memiliki semuanya, saya kira.

Solusi pencadangan dan pemulihan terbaik yang dirancang untuk membantu organisasi pulih dari serangan ransomware memiliki fitur pemulihan titik-ke-waktu, yang juga dikenal sebagai perlindungan atau pencatatan data berkelanjutan. Metode pemulihan yang dikontrol versi yang sangat ketat ini memungkinkan organisasi untuk mengambil data hingga beberapa detik sebelum ransomware menyerang.

“Dengan strategi pencadangan yang mencakup perlindungan data berkelanjutan (CDP), organisasi dapat yakin bahwa data mereka selalu tersedia dan aman,” kata Seymour. “CDP memungkinkan organisasi untuk sepenuhnya memulihkan data mereka dengan analisis terperinci untuk kembali ke titik waktu tertentu tepat sebelum serangan, meminimalkan kehilangan data apa pun.” Menurut Caroline, solusi CDP terbaik cukup fleksibel untuk mengambil dengan tepat apa yang dibutuhkan organisasi, apakah itu beberapa file, mesin virtual, atau tumpukan aplikasi yang lengkap. “Ini memastikan pengembalian yang cepat ke kondisi kerja,” jelasnya.”Alat pencadangan berbasis snapshot tradisional membuat organisasi berisiko kehilangan data di antara snapshot.”

Bagaimana Anda bisa mencegah serangan berulang?

Hack saya sekali, malu pada Anda. Kehilangan saya dua kali… Yah, kami tidak ingin ini terjadi, jadi penting bagi Anda untuk mengambil langkah-langkah untuk mencegah ransomware mengakses sistem Anda untuk kedua kalinya. Berikut adalah beberapa perlindungan terbaik yang dapat Anda gunakan untuk menghentikan serangan ransomware:

Deteksi dan respons titik akhir

Setelah Anda pulih dari pelanggaran, Anda perlu memastikan itu tidak terjadi lagi. Membersihkan sistem Anda dari file berbahaya tidak cukup – Anda harus terlebih dahulu mengidentifikasi apa yang menyebabkan pelanggaran dan mencari tahu apa yang dilakukan penyerang sebelum mereka dapat mengenkripsi atau mengunci data Anda.

Solusi Endpoint Detection (EDR) terus memantau semua lalu lintas masuk dan keluar di jaringan untuk kemungkinan ancaman. Jika ancaman terdeteksi, solusi akan mengisolasi mesin yang terpengaruh sehingga malware tidak dapat menyebar. Tapi inilah bagian pentingnya: EDR menyimpan catatan tidak hanya dari insiden itu sendiri, tetapi juga semua peristiwa yang menyebabkan insiden itu. Ini berarti Anda dapat melihat file, prosedur, dan kunci registri mana yang dapat diakses oleh peretas dan menentukan di mana serangan dimulai dan bagaimana kelanjutannya. Anda kemudian dapat menggunakan informasi ini untuk mencegah hal yang sama terjadi lagi.

Perangkat lunak antivirus

Perangkat lunak antivirus melindungi titik akhir individu dengan mendeteksi dan memblokir file berbahaya dan memperingatkan pengguna ketika mereka mengunjungi situs web yang mencurigakan. Saat ini, sebagian besar perangkat lunak perlindungan titik akhir dihosting di cloud, yang berarti bahwa solusi dapat menggunakan teknologi pembelajaran mesin canggih untuk mengotomatiskan analitik dan meningkatkan tingkat deteksi.

Keamanan email

Portal Email Aman (SEG) menyaring komunikasi email masuk dan keluar untuk mengidentifikasi ancaman dan mencegah pengirimannya. Ini dapat mencegah ransomware mencapai korban yang dituju.

Namun, penjahat dunia maya selalu mencari cara baru untuk masuk, sehingga serangan mereka menjadi semakin rumit – terutama dalam hal phishing. SEG dapat mencegah serangan phishing, tetapi mereka juga dapat memungkinkan beberapa komunikasi yang sangat bertarget atau dipersonalisasi untuk lewat. Jika ini terjadi, solusi perlindungan pasca-pengiriman dapat mendeteksinya, menggunakan algoritme dan stylus kecerdasan buatan yang kuat untuk mendeteksi serangan lanjutan dan memperingatkan pengguna dengan menyisipkan spanduk peringatan ke dalam email berisiko tinggi.

Teknologi penyaringan web

Ada dua jenis utama pemfilteran web: berbasis cloud dan berbasis DNS. Keduanya melindungi pengguna dari mengakses situs web berbahaya, seperti situs phishing, dan dari mengambil konten dari situs tersebut. Platform pemfilteran web cloud menyaring situs berbahaya dengan memindai kode berbahaya dan memfilter URL berbahaya. Mereka juga memblokir unduhan malware berbasis web di perangkat pengguna. Platform penyaringan web DNS (Domain Name System) adalah jenis filter berbasis cloud yang memberi peringkat lalu lintas Internet berdasarkan pencarian DNS.Semua situs memiliki alamat IP unik yang menghubungkan browser ke nama domain sehingga mereka dapat memuat halaman. Filter DNS terletak di antara browser dan domain, sehingga browser tidak dapat memuat situs berbahaya.  

Pelatihan kesadaran tentang phishing

Sayangnya, karyawan sering menimbulkan risiko keamanan terbesar bagi organisasi hanya karena mereka tidak menyadari risiko yang mereka hadapi setiap hari. Penjahat dunia maya mengeksploitasi kurangnya kesadaran ini dengan menyamar sebagai sumber tepercaya sehingga pengguna yang tidak curiga tidak bertanya kapan mereka meminta informasi sensitif atau mengirimi mereka file yang tidak biasa untuk diunduh. Pelatihan adalah salah satu pertahanan terbaik terhadap serangan rekayasa sosial dan solusi kesadaran pelatihan phishing yang kuat dapat mengubah karyawan Anda menjadi garis pertahanan yang kuat.Solusi terbaik bahkan memungkinkan Anda mengirim pesan simulasi e-fishing ke tenaga kerja Anda, menguji ketahanan mereka dan menunjukkan kepada Anda di mana Anda dapat meningkatkannya.

Ringkasan

Kemungkinannya adalah bahwa pada titik tertentu Anda akan menghadapi serangan ransomware. Kuncinya adalah memastikan Anda tahu apa yang harus dilakukan ketika itu terjadi dan dapat memulihkan data Anda dengan aman setelah sistem Anda dibersihkan dari malware apa pun.

Tentu saja, agar dapat memulihkan data Anda, Anda harus memiliki salinan file Anda yang tersimpan dengan aman di tempat lain. Praktik terbaik “3 2 1” merekomendasikan untuk menyimpan tiga salinan data Anda di dua lokasi terpisah dan setidaknya satu salinan harus disimpan pada media yang berbeda dari yang lain, mis. dalam penyimpanan objek, penyimpanan berbasis cloud atau berbasis disk. Cara paling aman untuk melakukannya adalah dengan berinvestasi dalam solusi pemulihan bencana pihak ketiga. Ada banyak dari mereka yang tersedia, masing-masing dengan set fitur yang sedikit berbeda, jadi penting untuk memilih produk yang paling sesuai dengan kebutuhan bisnis Anda. Kami telah menyusun daftarsolusi pencadangan dan pemulihan terbaik saat ini di pasar untuk membantu Anda memulai.

About administrator

Check Also

Cara Membersihkan Komputer yang Terinfeksi Virus Windows 10

Windows 10, OS Microsoft andalan, sedang dibangun kembali untuk serangan generasi berikutnya ini. Ini masih Windows, …