Serangan ransomware NotPetya mewakili malware tingkat lanjut dibandingkan dengan sepupunya WannaCry. Hal ini juga menunjukkan kecanggihan yang menimbulkan kekhawatiran di para ahli cybersecurity, bahwa ini mungkin telah mejadi sebuah tren ransomware.
Teknik serangan malware canggih yang digunakan oleh NotPetya mungkin terbukti menjadi tanda-tanda akan munculnya tren ransomware baru yang mungkin menandakan serangan yang lebih canggih yang dirancang untuk menyesatkan dan menghindari pertahanan tradisional.
Sementara NotPetya mungkin lebih ditujukan untuk melakukan kerusakan daripada menghasilkan uang, sehingga lebih banyak wiper daripada ransomware, para ahli mengatakan bahwa teknik pengiriman dan propagasi yang digunakan menunjukkan kecanggihan yang meningkat.
Malware NotPetya menggunakan beberapa vektor serangan. Para ahli mengatakan bahwa NotPetya dapat menggunakan perangkat lunak dan protokol perangkat lunak yang sah, karena metode pengiriman utamanya sangat mengesankan.
Seorang pakar keamanan siber di California, mengatakan bahwa NotPetya "inovatif dalam dua hal penting."
Serangan malware tersebut terbukti sangat berhasil karena pembaruan perangkat lunak biasanya menggunakan saluran selain email atau unduhan web biasa, yang menghadirkan tantangan bagi pertahanan perimeter tradisional.
Pakar keamanan senior di salah satu perusahaan keamanan siber mengatakan bahwa NotPetya dapat menunjukkan tren ransomware terhadap kecanggihan yang berasal dari kombinasi elemen yang jarang kita lihat.
Ada malware yang menggunakan kemasan baru dari kode berbahaya dan non-berbahaya yang berbeda. Ada juga dugaan kompilasi rantai pasokan di sebuah perusahaan perangkat lunak Ukraina dan kemungkinan serangan yang memanfaatkan situs berita yang telah mereka infeksi. Ini menunjuk pada beberapa organisasi yang disengaja atas nama penjahat dan bukan hanya beberapa kejadian acak.
Penggunaan alat standar Windows untuk diperbanyak ke sistem yang dapat ditambal bisa memicu tren ransomware yang lebih besar.
Kecanggihan NotPetya terletak pada vektor serangan awal - pembaruan yang dibajak oleh MeDoc - dan fakta bahwa ia tidak hanya mengandalkan eksploitasi untuk menyebar. Sebaliknya, alat administrasi PsExec dan WMIC yang cukup umum, ditambah dengan sebuah mimikatz dibangun untuk mengelabui target.
Secara khusus, kerentanan dan propagasi otomatis melalui sebuah domain sangat kompleks. Ini seperti yang terjadi pasa kasus serangan yang dilancarkan dari Iran terhadap jaringan di Arab Saudi (Shamoon). Kredensial diprogram dari memori untuk melancarkan serangan malware.
Sampai saat ini, sampel ini belum diamati untuk diperbanyak sendiri ke organisasi lain, namun ada pembatasan perilaku ke jaringan lokal. Perpindahan antara jaringan terpercaya dengan menggunakan kredensial sah yang dicuri pada jaringan sumber dan tujuan tampaknya berjalan. Tidak jelas sekarang apakah organisasi yang memiliki tingkat kepercayaan antara jaringan mereka dan organisasi eksternal (mis., Penyedia layanan terkelola) lebih tinggi atau tidak.
Penyerang tampaknya telah mengidentifikasi (benar) bahwa cara yang efektif untuk mengganggu proses keuangan negara tersebut, dan ekonomi nasionalnya melalui mekanisme perangkat lunak yang digunakan untuk pembayaran pajak. Mereka mengidentifikasi vendor perangkat lunak tersebut, dan dengan hati-hati (dalam sebuah cara yang canggih) menargetkan proses update untuk perangkat lunak vendor, dan menyebarkan malware melalui update. Menurut definisi, satu-satunya perusahaan yang akan terpengaruh adalah mereka yang melakukan bisnis dengan pemerintah Ukraina. Dan tidak seperti WannaCry, metode penyebaran malware begitu sebuah sistem mendownload dan memperbarui perangkat lunak dengan hati-hati terbatas pada segmen LAN lokal, tidak secara eksternal.
Ransomware, menurut sifatnya, jelas, mengganggu dan menarik banyak perhatian. Semua berdasarkan desain. Dengan demikian, menyamar sebagai alat peraga memberi perhatian pada apa yang mungkin merupakan bencana yang tenang dan terlokalisasi - namun tipu muslihatnya tidak akan berlangsung lama. Setelah analisis selesai, salah satu efek samping dari taktik ini adalah bahwa pengguna mungkin menjadi lebih waspada dalam membayar uang tebusan secara umum. Jika orang semakin curiga bahwa penyerang tidak memiliki kemampuan atau niat untuk menawarkan dekripsi, itu bisa diterjemahkan untuk sedikit bitcoin di dompet organisasi kriminal.
Kita telah melihat penjahat menggunakan jenis taktik ini di masa lalu dan seringkali motifnya tidak jelas sampai lama kemudian. Ransomware adalah jenis serangan yang sangat terlihat sehingga masuk akal untuk menggunakannya dengan cara ini. Inilah mengapa sangat penting untuk menahan godaan dengan cepat menyatakan atribusi dan motif.
Triknya adalah untuk lebih memahami poin 'manusia' dalam serangan ini. Tujuan atau motivasi para penyerang dapat menjangkau secara luas, termasuk keuntungan finansial, balas dendam, politik atau hacktivisme. Memahami maksud ini dapat membantu membentuk strategi keamanan perusahaan. Ini adalah bagian penting dari bagaimana para periset memprediksi peralihan masa depan di lanskap ancaman, dan bagaimana mereka meramalkan risiko infeksi melalui pembaruan produk yang dikompromikan tahun lalu. Memahami 'titik manusia' organisasi Anda dapat menghasilkan strategi keamanan yang lebih efektif.
Kemungkinan sebuah tren ransomware yang akan datang dari NotPetya akan menggunakan "serangan gangguan untuk menutupi tujuan perang cyber yang lebih besar."
Ktia semua harus memikirkan jenis serangan ini sebagai tabir asap. Dengan keamanan dunia maya semakin membaik di kebanyakan organisasi, kemungkinan penyerang tertangkap semakin meningkat. Dengan menggelar tabir asap digital, penyerang lebih mudah tersembunyi dalam kebisingan selama operasi. Selain itu, tujuan sebenarnya dari operasi mungkin tetap tersembunyi.
Teknik serangan malware canggih yang digunakan oleh NotPetya mungkin terbukti menjadi tanda-tanda akan munculnya tren ransomware baru yang mungkin menandakan serangan yang lebih canggih yang dirancang untuk menyesatkan dan menghindari pertahanan tradisional.
Trend Serangan Malware Semakin Canggih
Sementara NotPetya mungkin lebih ditujukan untuk melakukan kerusakan daripada menghasilkan uang, sehingga lebih banyak wiper daripada ransomware, para ahli mengatakan bahwa teknik pengiriman dan propagasi yang digunakan menunjukkan kecanggihan yang meningkat.
Malware NotPetya menggunakan beberapa vektor serangan. Para ahli mengatakan bahwa NotPetya dapat menggunakan perangkat lunak dan protokol perangkat lunak yang sah, karena metode pengiriman utamanya sangat mengesankan.
Seorang pakar keamanan siber di California, mengatakan bahwa NotPetya "inovatif dalam dua hal penting."
- Pertama, karena berhasil menargetkan situs pelaporan pajak Ukraina dan mekanisme pembaruan perangkat lunaknya. Ini menjamin beberapa ratus atau mungkin beberapa ribu infeksi awal, dan mungkin mengindikasikan penargetan ekonomi Ukraina.
- Kedua, karena memiliki beberapa metode infeksi lateral: tidak hanya mencoba kerentanan SMBv1 EternalBlue yang ditambal oleh Microsoft pada bulan Maret 2017, namun juga memindai memori lokal untuk kredensial WMIC. Cara ini menjamin perluasan populasi yang terinfeksi di jaringan komputer perusahaan yang diserang.
Tren ransomware dalam pengiriman dan penyebaran
Para ahli percaya bahwa vektor infeksi awal tersebut telah melalui kode berbahaya yang menyamar sebagai pembaruan perangkat lunak yang sah. Sementara periset keamanan siber mempertanyakan kemungkinan ini di tahun lalu. Ini adalah penggunaan signifikan pertama dari metode infeksi tersebut.Serangan malware tersebut terbukti sangat berhasil karena pembaruan perangkat lunak biasanya menggunakan saluran selain email atau unduhan web biasa, yang menghadirkan tantangan bagi pertahanan perimeter tradisional.
Pakar keamanan senior di salah satu perusahaan keamanan siber mengatakan bahwa NotPetya dapat menunjukkan tren ransomware terhadap kecanggihan yang berasal dari kombinasi elemen yang jarang kita lihat.
Ada malware yang menggunakan kemasan baru dari kode berbahaya dan non-berbahaya yang berbeda. Ada juga dugaan kompilasi rantai pasokan di sebuah perusahaan perangkat lunak Ukraina dan kemungkinan serangan yang memanfaatkan situs berita yang telah mereka infeksi. Ini menunjuk pada beberapa organisasi yang disengaja atas nama penjahat dan bukan hanya beberapa kejadian acak.
Penggunaan alat standar Windows untuk diperbanyak ke sistem yang dapat ditambal bisa memicu tren ransomware yang lebih besar.
Kecanggihan NotPetya terletak pada vektor serangan awal - pembaruan yang dibajak oleh MeDoc - dan fakta bahwa ia tidak hanya mengandalkan eksploitasi untuk menyebar. Sebaliknya, alat administrasi PsExec dan WMIC yang cukup umum, ditambah dengan sebuah mimikatz dibangun untuk mengelabui target.
Secara khusus, kerentanan dan propagasi otomatis melalui sebuah domain sangat kompleks. Ini seperti yang terjadi pasa kasus serangan yang dilancarkan dari Iran terhadap jaringan di Arab Saudi (Shamoon). Kredensial diprogram dari memori untuk melancarkan serangan malware.
Sampai saat ini, sampel ini belum diamati untuk diperbanyak sendiri ke organisasi lain, namun ada pembatasan perilaku ke jaringan lokal. Perpindahan antara jaringan terpercaya dengan menggunakan kredensial sah yang dicuri pada jaringan sumber dan tujuan tampaknya berjalan. Tidak jelas sekarang apakah organisasi yang memiliki tingkat kepercayaan antara jaringan mereka dan organisasi eksternal (mis., Penyedia layanan terkelola) lebih tinggi atau tidak.
Malware tingkat lanjut menyamar sebagai ransomware
Di luar teknik pengiriman dan propagasi yang digunakan oleh NotPetya, para ahli mencatat bahwa penggunaan alat tangkap untuk berpotensi mengalihkan perhatian dari serangan yang lebih tepat sasaran mungkin lebih sering dilihat perusahaan. Penyerang tampaknya menargetkan ekonomi dan warga Ukraina.Penyerang tampaknya telah mengidentifikasi (benar) bahwa cara yang efektif untuk mengganggu proses keuangan negara tersebut, dan ekonomi nasionalnya melalui mekanisme perangkat lunak yang digunakan untuk pembayaran pajak. Mereka mengidentifikasi vendor perangkat lunak tersebut, dan dengan hati-hati (dalam sebuah cara yang canggih) menargetkan proses update untuk perangkat lunak vendor, dan menyebarkan malware melalui update. Menurut definisi, satu-satunya perusahaan yang akan terpengaruh adalah mereka yang melakukan bisnis dengan pemerintah Ukraina. Dan tidak seperti WannaCry, metode penyebaran malware begitu sebuah sistem mendownload dan memperbarui perangkat lunak dengan hati-hati terbatas pada segmen LAN lokal, tidak secara eksternal.
Ransomware, menurut sifatnya, jelas, mengganggu dan menarik banyak perhatian. Semua berdasarkan desain. Dengan demikian, menyamar sebagai alat peraga memberi perhatian pada apa yang mungkin merupakan bencana yang tenang dan terlokalisasi - namun tipu muslihatnya tidak akan berlangsung lama. Setelah analisis selesai, salah satu efek samping dari taktik ini adalah bahwa pengguna mungkin menjadi lebih waspada dalam membayar uang tebusan secara umum. Jika orang semakin curiga bahwa penyerang tidak memiliki kemampuan atau niat untuk menawarkan dekripsi, itu bisa diterjemahkan untuk sedikit bitcoin di dompet organisasi kriminal.
Kita telah melihat penjahat menggunakan jenis taktik ini di masa lalu dan seringkali motifnya tidak jelas sampai lama kemudian. Ransomware adalah jenis serangan yang sangat terlihat sehingga masuk akal untuk menggunakannya dengan cara ini. Inilah mengapa sangat penting untuk menahan godaan dengan cepat menyatakan atribusi dan motif.
Metode serangan akan terus berkembang
Tren ransomware mungkin condong ke arah "termasuk metode mengelak untuk menyembunyikan aktivitas mereka, dan juga niat sebenarnya mereka." Singkatnya, mereka akan mengecoh dengan kamuflase diatas praduga umum.Triknya adalah untuk lebih memahami poin 'manusia' dalam serangan ini. Tujuan atau motivasi para penyerang dapat menjangkau secara luas, termasuk keuntungan finansial, balas dendam, politik atau hacktivisme. Memahami maksud ini dapat membantu membentuk strategi keamanan perusahaan. Ini adalah bagian penting dari bagaimana para periset memprediksi peralihan masa depan di lanskap ancaman, dan bagaimana mereka meramalkan risiko infeksi melalui pembaruan produk yang dikompromikan tahun lalu. Memahami 'titik manusia' organisasi Anda dapat menghasilkan strategi keamanan yang lebih efektif.
Kemungkinan sebuah tren ransomware yang akan datang dari NotPetya akan menggunakan "serangan gangguan untuk menutupi tujuan perang cyber yang lebih besar."
Ktia semua harus memikirkan jenis serangan ini sebagai tabir asap. Dengan keamanan dunia maya semakin membaik di kebanyakan organisasi, kemungkinan penyerang tertangkap semakin meningkat. Dengan menggelar tabir asap digital, penyerang lebih mudah tersembunyi dalam kebisingan selama operasi. Selain itu, tujuan sebenarnya dari operasi mungkin tetap tersembunyi.
Komentar
Posting Komentar