Solusi Perusahaan Menghadapi Serangan Ransomware di Masa Pandemik

Masa pandemi yang bermula pada awal tahun 2020 membuat seluruh dunia dari berbagai lapisan, khususnya perusahaan harus fokus melakukan antisipasi dan deteksi, agar tidak tergerus pada situasi yang semakin terpuruk. AMT IT Solutions & Sangfor mencoba menganalisa terjadinya serangan malware yang dialami oleh salah satu perusahaan otomotif terbesar di dunia.

Masa pandemi yang bermula pada awal tahun 2020 membuat seluruh dunia, khususnya bagi perusahaan harus fokus melakukan antisipasi agar tidak tergerus pada situasi yang semakin terpuruk. Banyak perusahaan turut serta menerapkan kebijakan Work From Home (WFH) untuk meminimalisir virus Covid-19 yang menyebar dengan cepat. Saat berbagai perusahaan menerapkan metode tersebut, bagaimana dengan keadaan sistem keamanan data yang dimiliki?

Pada Juni, 2020. Salah satu perusahaan besar di bidang industri otomotif menyatakan bahwa sistem keamanan mereka diretas oleh Hacker yang mengatasnamakan dirinya Ekans, atau dikenal sebagai Snake Ransomware. Serangan yang tiba-tiba terjadi ini berdampak tidak hanya pada satu lokasi atau departemen. Hal ini menyebabkan sistem jaringan server mereka tidak dapat di akses oleh pelanggan. Mereka terpaksa melakukan shutdown pada beberapa lokasi produksi, termasuk finansial service operation. Serangan yang di lakukan oleh peretas adalah dengan memanfaatkan malware yang bekerja dengan cara melakukan enkripsi pada data-data yang tersimpan.

Meskipun serangan Snake Ransomware tidak berdampak pada Personal Identifiable Information (PII) pelanggan. Serangan ini berdasarkan kepada data yang di encryption oleh ransomware, namun belum dapat di buktikan atas log pencatatan data exfiltrate yang mungkin saja terjadi sebelum serangan encryption di lancarkan.

Serangan yang terjadi bulan lalu, bukan pertama kalinya. Pada Juli 2019 Unsecured ElasticSearch database di cloud yang berisi 300.000 record data karyawan mereka di seluruh dunia, termasuk CEO nya sendiri. Serangan juga mengarah pada informasi mengenai perangkat komputer jaringan internal. Ditemukan sebuah table database yang bernama “uncontrolledmachines” yang berisi mesin perangkat komputer, di dalamnya tidak terdapat software security apapun yang terinstall. Pada tahun lalu, serangan terjadi karena adanya misconfiguration pada tata kelola di Cloud. Tentunya berbeda dengan serangan pada tahun ini yang disebabkan oleh Snake Ransomware.

Berakhirnya Sistem Tradisional dalam Cyber Security

Para ahli Cyber Security memprediksi bahwa Snake Ransomware dapat memperoleh entri data melalui serangan phishing. Analoginya seperti virus COVID-19, sekali server terinfeksi, ransomware menyebar dengan cepat mengenkripsi data dan menginfeksi server produksi Industrial Control System (ICS). Meskipun mereka menggunakan firewall pada jaringan servernya dan menyatakan terdapat juga berbagai produk anti-virus yang terpercaya, rupanya Snake Ransomware lebih pintar dan mampu menghindari keduanya. Hal ini kemungkinan juga terjadi karena tidak ada kerja sama antara firewall dan endpoint security.

Solusi yang lebih memungkinkan untuk melakukan pencegahan adalah komunikasi Command & Control (C&C) pada firewall yang memberi notifikasi pada pengguna untuk menelusuri dan mencari sumber infeksi pada endpoint. Saat pemindaian ulang berlangsung, pengguna akan menemukan data-data pada ransomware, setelah itu melakukan pencegahan dengan cara mengaktifkan firewall untuk melumpuhkan ke server C&C dan memblokir unduhan.

NGAF & Endpoint Security Product dengan keamanan lebih kuat akan memiliki kemampuan untuk mendeteksi proses enkripsi ransomware dan segera melumpuhkannya, serta akan menghapus file malware yang mengendalikan. Endpoint teknologi akan mencari semua sistem di seluruh jaringan yang terindikasi ransomware.

Mengapa Insiden Snake Ransomware Dapat Terjadi?

Sangfor Technologies melakukan riset analis dari kejadian yang dialami oleh perusahaan tersebut. Berikut langkah-langkah hacker dalam melakukan serangan dan aksi cepat tim Sangfor dalam mengatasi masalah :

Langkah 1 : Kelompok hacker mengumpulkan informasi intranet dan nama domain sistem TI perusahaan, setelah itu memilih alamat intranet perusahaan tersebut sebagai backdoor. Kelompok tersebut mempunyai strategi jika alamat intranet ini dianggap sebagai layanan platform dari TI internal perusahaan, maka hanya karyawan internal yang dapat masuk, serta menggunakannya.

Langkah 2: Hacker memaksa masuk sistem firewall menggunakan metode Remote Desktop Protocl (RDP) Bruto Force atau email phishing. Kemudian hacker menanamkan ransomware “Ekans”, atau dikenal sebagai “Snake.” Namun hal ini belum dikonfirmasi secara resmi oleh perusahaan tersebut.

Setelah itu para peretas memodifikasi fitur virus untuk secara aktif mengakses nama domain intranet dan menjadi zombie host. Setelah akses diperoleh, zombie host akan mengenalinya sebagai host intranet, dan virus akan secara otomatis mengenkripsi host. Jika zombie host tidak dapat mengakses nama domain intranet perusahaan tersebut, maka host tidak akan diakui sebagai host intranet, dan Ransomware akan tetap tidak aktif.

Langkah 3: Perangkat anti-virus perusahaan tersebut dapat dilewati, sehingga memungkinkan ransomware “Ekans” berhasil mengenkripsi korban. Ransomware menggunakan algoritma enkripsi RSA + AES dalam waktu yang sama. Sampai saat ini, tidak ada jaringan global vendor keamanan yang dapat mendekripsi itu.

Teknik Analisis Sangfor dalam Penanggulangan Insiden Snake Ransomware

Langkah 1 : Tim Analis Sangfor mengunduh sampel ransomware “ Ekans” dari layanan VirusTotal

Langkah 2 : Membuat environment di virtual machine pada PC korban. Setelah itu tim mulai menggunakan Sangfor Virtual Firewall dan Endpoint Secure.

Langkah 3 : Setelah Tim Sangfor menutup Sangfor Firewall dan Endpoint Policies, dapat dipastikan Hacker dapat berhasil menanamkan Snake Ransomware untuk melumpuhkan PC korban, dan kemudian memulai perintah eksekusi untuk menyebarkan virus melalui C&C Communication.

Langkah 4 : Sebelumnya, Snake Ransomware melakukan modifikasi konfigurasi firewall policies untuk dapat akses masuk dan keluar. Hal ini bertujuan untuk mencegah pengguna menggunakan remote control dengan maksud mengakhiri proses enkripsi. Setelah proses itu berjalan, kemudian Hacker mulai menginstruksikan PC host korban untuk secara aktif mengakses MDS perusahaan tersebut.

Langkah 5 : Tim Sangfor memiliki asumsi bahwa setelah akses berhasil dibuat, Snake Ransomware dapat mulai mengekstrak enkripsi dengan RSA Public Key.

Langkah 6 : Snake Ransomware akan menghentikan sistem kerja di semua software anti-virus, SQL, dan sistem lainnya. Hal ini untuk memastikan bahwa file yang relevan dapat berhasil dienkripsi.

Langkah 7 : File yang telah terenkripsi akan menyimpan nama asli file. Setelah itu Hacker akan mengenkripsinya dengan kunci AES dan informasi lainnya. Lalu menambahkan kata “Ekans” di akhir nama file.

Langkah 8 : Setelah enkripsi ransomware selesai dimodifikasi, Firewall Policies yang dimodifikasi sebelumnya akan dikembalikan pada keadaan semula, sehingga korban dapat terhubung dari jarak jauh ke akses firewall. Korban akan menyadari bahwa ia diretas melalui serangkaian pemberitahuan keamanan.

Langkah 9 : Sangfor NGAF Firewall dan Endpoint Secure menyediakan mekanisme perlindungan jaringan/endpoint yang terintegrasi. Dengan menggunakan NGAF Firewall dan Endpoint Secure Anda dapat menghapus ransomware dengan mudah. NGAF Firewall dapat memblokir C&C Communication dari peretas, sementara Endpoint Secure akan melakukan isolasi dan membunuh virus sebelum diaktifkan.

Sangfor menyediakan solusi keamanan yang dibuat khusus untuk melindungi dari ransomware. Solusi ini memahami setiap langkah “Rangkaian Pelumpuhan” yang digunakan malware untuk menyusup, menginfeksi, dan mengeksploitasi jaringan dan sistem lainnya. Sangfor menyatakan jika solusi Sangfor Next-Generation Application Firewall (NGAF) akan terintegrasi dengan Sangfor Endpoint Secure untuk mendeteksi dan mengidentifikasi jaringan jahat, serta endpoint behaviors yang diterapkan dengan respon terkoordinasi.

Endpoint Secure juga memiliki Ransomware Honeypot yang mampu mendeteksi kehadiran ransomware saat mulai mengenkripsi file, menghentikannya, dan kemudian mencari cara untuk mengatur file yang dapat mengkontrol, serta menghapusnya dari setiap sistem.

Gartner mendefinisikan lima tingkat kemampuan firewall dan Endpoint yang terintegrasi. Hasilnya, Sangfor mencapai tingkat tertinggi dengan nilai “Action-Oriented.”

AMT IT Solutions dan Sangfor Technologies berkomitmen untuk terus berfokus dalam menghadapi persoalan cyber security di Era New Normal. Serangan hacking terhadap perimeter, mungkin semakin sulit di lancarkan sehingga peretas memanfaatkan psikologis pengguna dengan mengaitkan dengan situasi pandemic. Keamanan cyber yang tadinya hanya di lokasi kantor, kini sudah menjangkau hingga ke lokasi rumah tinggal. Peran Sangfor Technologies dalam meningkatkan keamanan cyber perusahaan kini semakin menjadi sebuah kebutuhan penting.

Share This :
Contact Us whatsapp