Ransomware-as-a-Service (RaaS): Definisi & Contoh
ACT Communications – Ransomware-as-a-service (RaaS) adalah model langganan berbayar untuk penggunaan di web gelap tempat pengembang melisensikan malware ke pihak lain untuk mengeksekusi serangan ransomware yang ditargetkan.
RaaS diiklankan di web gelap dengan titik harga yang bervariasi di mana siapa saja dapat masuk dan membeli kit ransomware untuk meluncurkan serangan. Inilah yang membuat RaaS sangat berbahaya, karena bahkan peretas pemula dengan pengalaman pengkodean terbatas dapat membayar dan menggunakan perangkat lunak berbahaya yang sudah dikembangkan untuk meluncurkan serangan yang ditargetkan. Setelah peretas masuk ke organisasi target, mereka menggunakan malware jahat untuk mengekstraksi dan mengenkripsi data dan kemudian menggunakan teknik pemerasan ganda untuk memeras organisasi.
Biaya kerusakan ransomware global diperkirakan menelan biaya sekitar $265 miliar (USD) pada tahun 2031. Iming-iming keuntungan moneter besar-besaran inilah yang menyebabkan munculnya teknik yang lebih baru dan lebih canggih seperti RaaS.
Cara kerja ransomware sebagai layanan
Model RaaS melibatkan dua pihak: pengembang dan afiliasi. Pengembang bertanggung jawab untuk membuat dan menyewakan kode siap pakai kepada penyerang lain yang disebut afiliasi. Afiliasi adalah orang-orang yang meluncurkan serangan ransomware. Setelah afiliasi berhasil mengirimkan muatan, mereka menerima persentase dari uang tebusan.
Afiliasi dilatih tentang detail teknis dan diberikan panduan terperinci untuk meluncurkan serangan tebusan. Afiliasi ini juga diberikan dukungan 24/7 dan akses ke forum komunitas.
Kit RaaS dapat dibeli:
- Untuk biaya tetap bulanan
- Untuk biaya lisensi satu kali
- Atas dasar afiliasi, dengan penjahat membayar biaya bulanan yang lebih rendah sementara penyedia layanan mempertahankan sekitar 25% dari uang tebusan
- Atas dasar pembagian keuntungan atau “tanpa tebusan tanpa biaya”.
Sementara geng ransomware yang ditargetkan menggunakan banyak taktik untuk masuk ke jaringan pengguna yang tidak menaruh curiga, email phishing adalah salah satu metode paling umum untuk menargetkan jaringan korban. Email ini berisi dokumen Word terlampir yang terinfeksi, dan ketika seorang karyawan mengklik tautan berbahaya, malware akan diunduh secara otomatis.
Tahapan serangan RaaS
Serangan RaaS terjadi dalam beberapa tahap, dimulai dengan akses awal dan menyebar ke seluruh jaringan sebelum mengekstraksi dan mengenkripsi data, dan akhirnya menuntut uang tebusan.
- Tahap akses awal: Ini adalah langkah pertama, di mana pengguna tertipu untuk mengklik file yang terinfeksi.
- Perintah dan kontrol: Begitu berada di dalam jaringan, malware terhubung ke pusat komando dan kontrol peretas dan menjalin komunikasi.
- Memanggungkan: Dalam tahap ini, ransomware menetapkan pijakan, dan peningkatan hak istimewa terjadi. Itu mencuri kredensial dan mendapatkan akses ke aset jaringan yang paling penting.
- Ekspansi: Dalam mode ekspansi, ransomware memulai gerakan lateral dan menyebar ke seluruh jaringan. Ketika penyerang telah cukup menginfeksi jaringan, mereka kemudian dapat melanjutkan pemerasan.
- Eksfiltrasi data: Eksfiltrasi data adalah teknik umum serangan ransomware modern. Aktor jahat mengekstraksi data dan menggunakan metode pemerasan ganda atau bahkan tiga kali lipat untuk memeras perusahaan agar menuruti tuntutan mereka.
- Enkripsi data: Setelah eksfiltrasi data selesai, penyerang menggunakan kombinasi enkripsi simetris dan asimetris untuk membuat data tidak berguna.
- Catatan tebusan: Serangan berakhir dengan pengiriman catatan tebusan meminta persyaratan pembayaran dan ancaman untuk membagikan data yang dieksfiltrasi jika persyaratan tidak dipatuhi.
Contoh ransomware-sebagai-layanan
Meskipun banyak bentuk RaaS pada dasarnya bersifat rahasia dan terus berkembang, beberapa telah mendapatkan ketenaran yang cukup untuk dikenal luas karena keberhasilannya dalam melakukan serangan skala besar. Beberapa contohnya termasuk DarkSide, LockBit, REvil, dan Ryuk.
Sisi gelap
DarkSide adalah grup penjahat dunia maya yang menjual RaaS ke peretas lain dengan imbalan keuntungan.DarkSide pertama kali muncul pada Agustus 2020 dan dengan cepatmenyebar ke lebih dari 15 negara, menargetkan organisasi di berbagai industri.
Ini adalah kelompok yang sama yang bertanggung jawab atas insiden ransomware Colonial Pipeline, yang benar-benar membuat Pantai Timur terhenti.
LockBit
Diluncurkan pada 2019, LockBit adalah salah satu malware paling berbahaya. Meskipun awalnya grup ini berada dalam bayang-bayang geng terkenal lainnya seperti REvil dan Ryuk, grup ini menjadi pusat perhatian pada paruh kedua tahun 2021. Dan pada kuartal pertama tahun 2022, grup ini telah menjadi varian ransomware yang paling banyak digunakan.
Jika kita mengikuti klaim geng, mereka telah menargetkan lebih dari 12.125 organisasi. LockBit terkenal karena menggunakan teknik pemerasan ganda di mana mereka mencuri data dan kemudian mengancam untuk mempublikasikan informasi rahasia jika organisasi tidak membayar.
Revil
REvil, atau Sodinokibi, adalah varian RaaS yang dibentuk pada tahun 2019 yang bertanggung jawab atas banyak kasus ransomware profil tinggi. Contohnya termasuk kasus JBS USA, di mana perusahaan pengolah makanan harus membayar uang tebusan $11 juta dalam bitcoin, dan serangan Kaseya yang membahayakan lebih dari 1.000 perusahaan.
Terlepas dari metode enkripsi data dan permintaan uang yang biasa, REvil juga menggunakan teknik pemerasan ganda dengan mengancam korbannya untuk membocorkan informasi yang dicuri di depan umum jika jumlah uang tebusan tidak dibayarkan.
Ryuk
Ryuk adalah ransomware bertarget yang dioperasikan manusia yang menyerang institusi bernilai tinggi seperti outlet media dan lembaga pemerintah yang memiliki kemampuan untuk membayar uang tebusan dalam jumlah besar.
Berasal dari tahun 2018, Ryuk menggunakan alat sumber terbuka dan metode peretasan manual untuk masuk ke dalam sistem. Setelah data dienkripsi, grup Ryuk meminta tebusan dalam bitcoin.
Hingga saat ini, geng tersebut telah mendapatkan uang tebusan lebih dari $150 juta, menjadikannya salah satu yang paling terkenal dalam perdagangan tersebut. Meskipun tidak jelas siapa pemilik Ryuk, biasanya dikaitkan dengan Wizard Spider, sebuah kelompok kejahatan dunia maya yang berbasis di Rusia.
Bagaimana melindungi diri Anda dari serangan RaaS
Untungnya, ada cara untuk melindungi organisasi Anda dari serangan ransomware. Berikut adalah beberapa praktik terbaik yang dapat Anda terapkan untuk mencegah serangan kriminal.
Pelatihan kesadaran keamanan
Anda perlu melatih staf Anda untuk mengenali serangan ransomware. Untuk itu, Anda harus melakukan pelatihan kesadaran keamanan yang komprehensif yang mencakup mengidentifikasi teknik rekayasa sosial dan email phishing, serta mengikuti uji penetrasi dan uji keterampilan keamanan untuk diperbarui secara berkala berdasarkan ancaman RaaS terbaru.
Segmentasi jaringan
Begitu malware memasuki komputer Anda, ia dapat dengan cepat menginfeksi seluruh jaringan melalui pergerakan lateral. Oleh karena itu, adalah bijaksana untuk membagi jaringan Anda menjadi sub-jaringan yang lebih kecil sehingga meskipun terinfeksi, Anda dapat mengisolasi infeksi ke mesin sesedikit mungkin.
Ikuti pendekatan tanpa kepercayaan untuk keamanan
Keamanan tanpa kepercayaan adalah pendekatan yang bekerja berdasarkan prinsip tidak mempercayai perangkat atau orang apa pun kecuali diautentikasi. Langkah-langkahnya termasuk memverifikasi pengguna, menerapkan autentikasi multifaktor (MFA), dan mengizinkan akses hak istimewa untuk membatasi radius ledakan penjahat yang mencoba mendapatkan akses tidak sah.
Perbarui secara teratur
Peretas selalu mencari untuk mengeksploitasi kerentanan dalam sistem dan jaringan. Pastikan sistem operasi dan perangkat lunak Anda diperbarui dan ditambal secara teratur untuk mencegah peretas mengeksploitasi kerentanan. Juga, dorong karyawan Anda untuk menggunakan kata sandi yang kuat dan biasakan untuk mengubahnya secara teratur.
Lakukan backup secara teratur
Mungkin sulit untuk mendekripsi data yang telah dienkripsi oleh ransomware; oleh karena itu, Anda harus mencadangkan data secara berkala ke beberapa lokasi. Jadi, meskipun sistem Anda diretas, setidaknya Anda memiliki salinan bersih dari data Anda yang berada di tempat lain.
Perlindungan titik akhir
Titik akhir berfungsi sebagai titik mudah bagi peretas untuk masuk ke jaringan perusahaan Anda. Oleh karena itu, mengamankan perangkat titik akhir sangat penting untuk menghilangkan tautan yang lemah. Lakukan tindakan untuk melacak semua perangkat titik akhir dan menjalankan perangkat lunak perlindungan titik akhir sehingga tim operasi keamanan Anda dapat menemukan serangan ransomware.
Pertanyaan yang Sering Diajukan (FAQ)
Dengan meringkas beberapa poin dari artikel ini, berikut adalah beberapa pertanyaan singkat yang mungkin Anda atau karyawan Anda miliki tentang perbandingan RaaS dengan model ransomware atau malware lainnya.
Apa itu model ransomware sebagai layanan?
Model ransomware-as-a-service (RaaS) adalah sistem berbasis langganan yang dirancang untuk memberikan akses peretas amatir ke kode ransomware siap pakai untuk meluncurkan serangan ransomware dengan mudah dengan pemrograman minimal. Mereka dapat melakukannya dengan membeli kit RaaS dari web gelap.
Seberapa populer Ransomware-as-a-service?
Penjahat dunia maya semakin banyak menggunakan RaaS untuk memeras uang tebusan dari ribuan organisasi dalam berbagai ukuran. Faktanya, jumlah RaaS dan kelompok pemeras lainnya tumbuh sebesar 63,2% selama kuartal pertama tahun 2022 jika dibandingkan tahun sebelumnya.
Intinya: Melindungi dari serangan RaaS
Operator ransomware mahir melewati pertahanan keamanan bahkan dari organisasi terbesar sekalipun. Dalam skenario seperti itu, perlu ekstra hati-hati. Meskipun tidak ada cara untuk sepenuhnya mencegah ransomware, organisasi dapat mengadopsi pendekatan yang sangat waspada dan menopang pertahanan keamanan mereka agar dapat merespons insiden keamanan siber dengan baik.