Waspada! Ancaman Ransomware yang Meniru Identitas Karyawan

Ancaman ransomware masih menjadi sorotan utama dalam ranah keamanan cyber, terutama setelah insiden terbaru yang melibatkan serangan yang mampu meniru identitas karyawan dalam upaya merusak infrastruktur perusahaan. Tim Kaspersky Global Emergency Response telah mengungkapkan bahwa penyerang menggunakan varian malware enkripsi khusus yang dilengkapi dengan kemampuan propagasi mandiri, menjadikannya sebagai ancaman serius bagi banyak organisasi di seluruh dunia.

Meskipun tahun 2022 telah berlalu, kehadiran varian seperti LockBit masih mengintai, siap untuk mengeksploitasi celah keamanan yang ada. Insiden-insiden terbaru yang terjadi di berbagai wilayah menunjukkan bahwa para penyerang semakin canggih dalam menciptakan serangan yang sulit dideteksi. Salah satu aspek yang menjadi sorotan adalah peniruan identitas karyawan, di mana pelaku ancaman menyamar sebagai administrator sistem dengan hak istimewa untuk melancarkan serangan mereka.

Dalam serangan terbaru yang menimpa Guinea-Bissau, penjahat siber mengadopsi taktik baru dengan meniru identitas karyawan dalam upaya memperluas jangkauan serangan mereka. Serangan ini mengungkap kelemahan infrastruktur keamanan dan menyoroti pentingnya tindakan proaktif untuk melindungi data perusahaan.

Serangan ransomware yang disesuaikan dengan kredensial administrator mencuri perhatian tim Kaspersky Global Emergency Response. Dengan menggunakan kredensial tersebut, para penyerang dapat menembus infrastruktur perusahaan dengan mudah. Bahkan, serangan ini telah mencapai wilayah Afrika Barat dan ditemukan memiliki kemampuan propagasi mandiri yang mengkhawatirkan.

Salah satu hal yang membuat serangan ini sangat meresahkan adalah kemampuan malware untuk menyamar sebagai administrator sistem. Dengan akses istimewa ini, penjahat siber dapat melakukan aktivitas berbahaya seperti menonaktifkan sistem keamanan dan mengenkripsi data secara besar-besaran.

Tidak hanya itu, varian ransomware yang digunakan dalam serangan ini juga menampilkan adaptabilitas yang tinggi. Mereka dapat disesuaikan dengan konfigurasi spesifik dari infrastruktur korban, menambah tingkat kesulitan dalam mendeteksinya. Hal ini membuat serangan semakin berbahaya dan sulit ditangani.

Menurut Incident Response Specialist dari Kaspersky, Cristian Souza, meskipun pembuat LockBit 3.0 bocor pada tahun 2022, penyerang masih aktif memanfaatkannya dan menciptakan versi yang disesuaikan tanpa memerlukan keterampilan pemrograman tingkat lanjut. Fleksibilitas ini memberikan peluang besar bagi penjahat siber untuk meningkatkan efektivitas serangan mereka.

Selain itu, serangan ini juga menunjukkan bahwa penyerang semakin cerdik dalam mencari celah keamanan. Mereka menggunakan skrip SessionGopher untuk mengekstrak kata sandi yang disimpan di sistem terinfeksi, menambah kompleksitas serangan ini.

Produk Kaspersky mendeteksi ancaman tersebut dengan dugaan sebagai berikut :

1. Trojan-Ransom.Win32.Lockbit.gen
2. Trojan.Multi.Crypmod.gen
3. Trojan-Ransom.Win32.Generik 
4. HackTool.PowerShell.Agent.l
5. HackTool.PowerShell.Agent.ad

LockBit adalah kelompok penjahat siber yang menawarkan ransomware sebagai layanan (RaaS). Pada bulan Februari2024, operasi penegakan hukum internasional mengambil alih kendali kelompok tersebut. Beberapa hari setelah operasi tersebut, kelompok ransomware dengan lantang mengumumkan bahwa mereka kembali beraksi.

Namun, respons terhadap serangan ransomware tidaklah sia-sia. Operasi internasional yang melibatkan berbagai pihak berwenang telah berhasil menghapus kelompok ransomware LockBit dan mengamankan kunci dekripsi pribadi. Langkah-langkah ini memberikan harapan bagi korban serangan untuk memulihkan data mereka.

Kaspersky merekomendasikan beberapa langkah mitigasi yang penting untuk menghadapi ancaman ransomware, antara lain:

1. Melakukan pencadangan data secara teratur dan melakukan pengujian untuk memastikan keberhasilannya.
2. Menyimpan file terenkripsi dengan aman jika menjadi korban ransomware dan belum memiliki dekripsi yang diketahui.
3. Menggunakan solusi keamanan yang kuat dan mempertimbangkan layanan Deteksi dan Respons Terkelola (MDR) untuk perlindungan yang lebih efektif.
4. Memastikan sistem dan perangkat lunak selalu diperbarui untuk mengatasi kerentanan yang mungkin dieksploitasi oleh penyerang.
5. Memberikan pelatihan keamanan siber secara berkala kepada karyawan untuk meningkatkan kesadaran mereka akan ancaman siber.

Dengan semakin berkembangnya taktik dan teknik yang digunakan oleh penjahat siber, langkah-langkah ini menjadi semakin penting dalam menjaga keamanan data dan infrastruktur perusahaan. Kesadaran akan ancaman ransomware yang semakin kompleks perlu ditingkatkan, dan kerjasama antara pihak berwenang, perusahaan, dan pakar keamanan siber menjadi kunci dalam mengatasi tantangan ini.