Pandemi Bayangan: Bahaya Ransomware Saat Ini dan Masa Depan bagi Perusahaan

Di tengah perjuangan yang sedang berlangsung melawan COVID-19, pemerintah dan bisnis global menghadapi ancaman virus lainnya—yang tidak ada yang kebal darinya. Serangan Ransomware telah meningkat selama dua tahun terakhir hingga Interpol sekarang menganggapnya sebagai pandemi di seluruh dunia. Dalam panggilan mendesak untuk bertindak yang dikeluarkan pada pertengahan 2021, Jurgen Stock, Sekretaris Jenderal organisasi keamanan global, mengatakan bahwa memerangi ransomware telah menjadi tugas yang terlalu besar untuk dilakukan sendiri oleh organisasi atau industri mana pun. Tanpa tanggapan global, katanya, tidak ada yang dapat mengekang pertumbuhan eksponensial dari kejahatan ransomware.

Pada bulan Oktober, Dewan Keamanan Nasional Gedung Putih mengadakan pertemuan puncak keamanan siber virtual global, dan 30 negara peserta berkomitmen untuk membentuk koalisi mirip NATO yang berfokus pada pertahanan siber. Tetapi para ahli yang berkonsultasi dengan Toptal mengatakan para pemimpin perusahaan harus terlibat dalam pertempuran melawan ransomware juga.

“Ini harus lebih dari sekedar sekelompok pemerintah dan organisasi internasional seperti Interpol,” VS Subrahmanian, pemimpin dunia dalam penelitian keamanan siber dan kontraterorisme, dan seorang profesor dan rekan fakultas di Institut Roberta Buffett untuk Urusan Global di Universitas Northwestern , memberi tahu Toptal Insights. Pencegahan Ransomware harus “mencakup perusahaan besar, dan harus melibatkan orang-orang yang memikirkan hal-hal ini secara mendalam, seperti peneliti independen atau akademis.”

Serangan Ransomware telah meningkat hingga Interpol sekarang menganggapnya sebagai pandemi di seluruh dunia.

Memperlambat pertumbuhan ekosistem ransomware dan mempertahankan ekonomi global akan melindungi perusahaan baik sekarang maupun di masa depan. Bahkan perusahaan dengan daftar periksa keamanan siber standar emas tidak kebal terhadap ancaman ransomware saat ini. Dan para pemimpin perusahaan yang percaya bahwa mereka dapat membeli jalan keluar dari serangan mungkin akan terganggu ketika mengetahui bahwa hanya 8% dari mereka yang membayar peretas mendapatkan semua data mereka kembali.

“Saat ini penyerang terus mengembangkan strategi mereka untuk menghindari atau mengatasi pertahanan, jadi ini adalah pertempuran terus-menerus,” kata Subrahmanian, yang ikut mendirikan SentiMetrix, perusahaan ilmu data dan analisis sosial yang bermitra dengan lembaga pemerintah AS, perusahaan Fortune 500, dan universitas terkemuka. “Jumlah serangan meningkat dan semua perusahaan berada di bawah ancaman.”

Status Permainan Saat Ini

Peralihan tiba-tiba ke pekerjaan jarak jauh dan peningkatan ketergantungan pada komputasi awan selama penutupan COVID-19 tahun 2020 mengungkap kelemahan di banyak jaringan perusahaan dan menciptakan lebih banyak titik masuk untuk malware—program perangkat lunak berbahaya yang memungkinkan peretas mengunci data organisasi, menghapusnya dari komputer perusahaan, dan menyanderanya di server eksternal.

Jumlah total yang dibayarkan organisasi Amerika kepada penyerang ransomware lebih dari dua kali lipat antara 2019 dan Juni 2021, menurut perkiraan dari Jaringan Penegakan Kejahatan Keuangan (FinCen) Departemen Keuangan AS. Rata-rata pembayaran tebusan yang diminta dari setiap korban juga telah meledak, dari hanya $1 juta dolar pada 2019 menjadi lebih dari $5 juta pada 2020, menurut Unit 42, kelompok penelitian ancaman global dan analisis malware yang dimiliki oleh perusahaan keamanan siber Palo Alto Networks.

Dalam salah satu serangan paling melumpuhkan dalam sejarah baru-baru ini, peretas memaksa penutupan pasokan bensin ke sebagian besar Pesisir Timur AS selama lima hari pada tahun 2021, hingga Colonial Pipeline Co. membayar tebusan sebesar $4,4 juta. Sekitar waktu yang sama, raksasa asuransi yang berbasis di Chicago, CNA, membayar penyerang ransomware $ 40 juta, menetapkan tanda air tinggi baru untuk serangan individu.

Pada akhir tahun 2021, pemimpin solusi perangkat lunak SDM global, Ultimate Kronos Group, diserang dengan serangan yang membuat perusahaan besar berebut mencari cara alternatif untuk membayar pekerja mereka—dua minggu sebelum liburan Natal. Jumlah uang tebusan yang diminta belum diumumkan, tetapi kemungkinan besar, mengingat UKG melaporkan pendapatan sebesar $3,3 miliar pada tahun 2021.

Pertumbuhan eksponensial dalam keuntungan bagi penjahat menarik lebih banyak oportunis dari seluruh dunia. Cina dikenal sebagai hotspot kejahatan dunia maya; negara aktif lainnya untuk peretas termasuk Brasil, Polandia, Iran, India, Amerika Serikat, Rusia, dan Ukraina.

Serangan Ransomware Hari Ini Semakin Kejam

Serangan Ransomware biasanya mengikuti prosedur yang sangat sederhana: “Anda akan diserang. Beberapa file Anda akan dienkripsi. Anda harus membayar uang tebusan dalam Bitcoin untuk mendapatkan kembali file-file itu,” kata Subrahmanian. Jenis serangan ini dimulai pada akhir 1980-an, ketika virus komputer didistribusikan di floppy disk ke korban yang tidak curiga yang harus mengirim uang tunai ke kotak pos anonim untuk membuka kunci komputer mereka. Ketika bisnis global bergerak online, begitu pula skemanya.

Selama bertahun-tahun, organisasi menyadari bahwa sering mencadangkan file ke hard drive eksternal atau server cloud menetralkan ancaman penguncian data. “Jadi yang dilakukan pelaku ancaman ransomware adalah mengubah modus operandi mereka,” kata Subrahmanian. “Ketika mereka melakukan serangan, mereka tidak hanya mengenkripsi data Anda. Mereka juga mencuri sebagian.”

Memanfaatkan data yang dicuri, peretas sekarang secara teratur menggunakan hingga empat jenis pemerasan selama serangan. Yang pertama adalah mengenkripsi data korban dan exfiltrating (menghapus) ke server yang dikendalikan oleh cybercriminal. Yang kedua adalah mengancam untuk mempublikasikan rahasia atau informasi kepemilikan organisasi yang dapat merusak reputasi perusahaan. Jenis pemerasan ketiga melibatkan ancaman serangan Denial of Service (DOS), yang mematikan situs web organisasi yang menghadap publik.

Ini adalah serangan siber yang sangat agresif dan orang-orang yang melakukannya memiliki kekuatan lebih dari negara-bangsa. —Austin Dimmer, pakar DevSecOps

Jenis pemerasan ransomware baru keempat—yang disebut “pemerasan eksternal”—muncul pada tahun 2020 dalam serangan pertama dari jenisnya terhadap perusahaan swasta yang menjalankan 25 klinik kesehatan mental di Finlandia. Penyerang tidak hanya meminta uang agar perusahaan dapat memperoleh kembali akses ke sistemnya dan menghindari publikasi data internalnya, para penjahat juga memeras puluhan ribu pasien individu, mengancam akan merilis catatan rahasia terapis dan catatan perawatan mereka secara terbuka jika mereka tidak melakukannya. membayar rata-rata 200 euro masing-masing.

"Ini adalah serangan siber yang sangat agresif dan orang-orang yang telah melakukan serangan ini, mereka memiliki kekuatan lebih dari negara-bangsa sekarang," kata Austin Dimmer kepada Toptal Insights. Seorang ahli dalam DevSecOps (pengembangan, keamanan, dan operasi) yang telah membangun dan mengelola jaringan aman untuk Komisi Eropa, Lego, dan Publicis Worldwide, Dimmer telah melihat bagiannya dari pekerjaan penjahat dunia maya. "Mereka hanya tanpa belas kasihan dan tidak menunjukkan belas kasihan."

Jaringan yang Kompleks Membuat Penyerang Sulit Ditangkap

Sifat pasar ransomware yang terdesentralisasi dan kompleks membuat penangkapan penyerang menjadi sangat sulit. Jaringan orang yang melakukan satu serangan jauh melampaui satu pengembang perangkat lunak berbahaya yang menciptakan malware. Pengembang jarang melakukan serangan sendiri. Sebaliknya, mereka membuang barang dagangan mereka ke web gelap untuk dibeli atau disewa. Pada saat itu, distributor membuat kontrak dengan pengembang untuk hak menyebarkan perangkat lunak dan melakukan serangan.

Kemudian, setelah uang tebusan dibayarkan, jaringan pencuci uang kriptocurrency naik, menggosok dana dan mendistribusikan keuntungan kembali ke pengembang, distributor, dan aktor lainnya.

Bahkan ketika penyerang ransomware ditemukan dan ditangkap, ganti rugi uang untuk korban umumnya minimal. Dalam kasus Colonial Pipeline, misalnya, FBI hanya mampu melacak transaksi cryptocurrency untuk mendapatkan kembali sekitar setengah dari $4,4 juta uang tebusan yang dibayarkan.

Memprediksi dan Mencegah Serangan di Masa Depan

Dengan sedikit harapan untuk melacak penjahat dan dana tebusan setelah serangan ransomware selesai, Subrahmanian berfokus pada prediksi dan pencegahan. Dia dan timnya di Northwestern saat ini sedang mengembangkan sistem prediktif yang dapat mengantisipasi jenis dan waktu serangan ransomware di masa depan sebelum data dikompromikan.

Perangkat lunaknya menggunakan kecerdasan buatan untuk melacak komunikasi dan tren di web gelap dan media sosial untuk mengidentifikasi malware baru yang sedang dikembangkan dan untuk dicatat ketika sedang dipromosikan ke distributor potensial.

Subrahmanian bertujuan untuk menunjukkan tidak hanya kapan tetapi juga bagaimana peretas akan mencoba menyusup ke sistem. Temuan awalnya menunjukkan bahwa dari ribuan kemungkinan kerentanan yang diidentifikasi dalam daftar periksa keamanan dan oleh konsultan, peretas hanya menargetkan 9,3% dari kelemahannya. Ini berarti bahwa organisasi mungkin menyia-nyiakan 90% upaya keamanan TI mereka untuk perlindungan yang salah.

Meskipun hampir tidak mungkin untuk mengantisipasi tindakan kelompok peretas anonim dan individu yang tersebar secara global, pemantauan komunikasi agregat yang ditandai untuk koneksi ke kejahatan dunia maya dapat menjadi indikasi meningkatnya area ancaman. Seperti mengamati aliran pasar keuangan untuk memprediksi tren, Subrahmanian berharap mengamati pasar luas aktivitas ransomware akan membantu peneliti mengenali malware yang muncul dan target potensialnya sehingga organisasi dapat mengambil langkah proaktif.

Cara Inovatif Sektor Swasta Dapat Membantu Memerangi Kejahatan Dunia Maya

Tanpa jenis peramalan andal yang coba diciptakan oleh tim Subrahmanian, garis depan masih merupakan tempat yang mengerikan bagi organisasi untuk beroperasi. Tetapi empat strategi ini dapat membantu para pemimpin perusahaan melawan sekarang:

Kurangi Keuntungan untuk Penyerang Ransomware

Jika serangan ransomware terus memberikan bayaran besar kepada penjahat dunia maya, Dimmer percaya bahwa sebagian besar upaya pemerintah dan penegakan hukum pasti akan gagal. Ada terlalu banyak peluang untuk mendapatkan keuntungan, dia beralasan, terutama mengingat peluang ekonomi semacam itu mungkin tidak ada di beberapa negara tempat para peretas berada.

Untuk melemahkan penggerak ekonomi ini, perusahaan harus mempertimbangkan untuk mengadopsi aturan internal yang menentang pembayaran uang tebusan dan mendukung undang-undang yang akan membuat pembayaran uang tebusan menjadi ilegal, kata Subrahmanian dan Ismael Peinado, Chief Technology Officer Toptal. “Pikirkan saja mengapa kita mengalami serangan ini. Karena penyerang mendapatkan uang. Dan kenapa semakin parah? Karena mereka terus mendapatkan uang,” kata Peinado. “Mengapa kita tidak membayar uang tebusan kepada orang-orang yang pergi ke bank dan menyandera? Untuk alasan yang sama."

Mungkin terdengar kontroversial untuk mengkriminalisasi tindakan yang dilakukan oleh korban ransomware, tetapi Subrahmanian mencatat bahwa perusahaan yang membayar penjahat dunia maya untuk menyelamatkan data mereka mungkin sudah melanggar hukum internasional jika penyerang berasal dari negara dengan sanksi internasional terhadap mereka atau berafiliasi dengan organisasi yang mensponsori terorisme. Sebuah laporan tentang pembayaran cryptocurrency kepada peretas yang melacak negara tujuan pembayaran cryptocurrency untuk ransomware menunjukkan bahwa setidaknya 15% pembayaran berakhir di tangan entitas terlarang, yang melanggar hukum internasional.

Terlebih lagi, membayar tidak menjamin bahwa peretas akan menahan tawaran mereka. Menurut survei terbaru terhadap lebih dari 5.000 pemimpin TI di seluruh dunia oleh perusahaan keamanan siber Sophos, organisasi yang membayar rata-rata hanya mendapatkan kembali 65% data mereka. Hanya 8% korban yang dapat memulihkan semua file mereka.

Fokus pada SecOps Alih-alih Daftar Periksa dan Audit Eksternal

Para pemimpin teknologi yang berusaha melindungi perusahaan mereka sering kali menggunakan daftar periksa praktik terbaik keamanan, berinvestasi dalam perangkat lunak keamanan terbaru, dan menyewa auditor keamanan yang mahal untuk menguji kerentanan jaringan. Sayangnya, Peinado—pemimpin keamanan siber global dengan 20 tahun pengalaman bekerja dengan organisasi pemerintah, perusahaan rintisan, dan perusahaan besar dengan pertumbuhan tinggi—mengatakan bahwa itu adalah pendekatan yang salah.

Mengejar daftar periksa dan sertifikasi dan berfokus pada kepatuhan peraturan sederhana dapat menghabiskan sumber daya TI institusi sekaligus menciptakan rasa aman yang salah di antara kepemimpinan perusahaan. Dengan titik masuk tambahan ke sistem dan ketergantungan pada komputasi awan, mendapatkan akses ke jaringan tidak lagi sesulit dulu, katanya. Namun perusahaan keamanan masih menghabiskan waktu berjam-jam untuk memeriksa kerentanan dalam jaringan yang mungkin tidak pernah menjadi target peretas. “Pada akhirnya, mereka kehilangan fokus dari apa yang sebenarnya dilakukan peretas, yaitu jika Anda mengamankan satu jalan ke rumah Anda, mereka hanya akan menemukan cara lain untuk masuk,” katanya.

Sebaliknya, Peinado merekomendasikan agar para pemimpin teknologi mengintegrasikan keamanan secara langsung ke dalam operasi rekayasa dan menghilangkan siklus pengujian dan patching yang konstan. Jenis operasi keamanan ini, yang disebut sebagai DevSecOps atau SecOps, mengintegrasikan keamanan secara langsung ke dalam operasi pengembangan perangkat lunak perusahaan dan mendorong lingkungan respons yang gesit terhadap ancaman baru, katanya.

Misalnya, ketika fungsi atau fitur baru dari situs web perusahaan dibuat dan diluncurkan secara publik, serangkaian kerentanan baru bagi peretas akan muncul. Dalam siklus kerja tradisional, pengembang akan membuat fungsi situs web baru dalam silo dan kemudian mengirimkannya untuk pengujian oleh pakar keamanan internal (dan terkadang eksternal). Keamanan kemudian akan ditambal dan diletakkan di atas kerentanan yang ditemukan setelah fakta.

Dalam lingkungan SecOps, para insinyur dan pengembang yang membangun situs atau fungsionalitas duduk bersama seorang insinyur keamanan untuk memastikan tingkat keamanan yang tepat terintegrasi saat produk dikembangkan. Pendekatan terintegrasi ini membuat pengembang SecOps lebih sadar dan akuntabel dengan cara yang tidak mungkin dilakukan dalam prosedur yang lebih tradisional, kata Peinado.

Manfaatkan Bakat Keamanan Siber Kontingen

Dimmer, yang bekerja dengan klien sebagai bagian dari jaringan bakat pengembang Toptal, mengatakan bahwa dia menerima reaksi yang beragam ketika mencoba memperkenalkan sudut pandang SecOps ke dalam proses klien, seringkali karena kesenjangan keterampilan pada tim TI internal—sistem menjadi lebih sulit digunakan sebagai Anda membuat mereka lebih aman. Sukses berarti tidak hanya memiliki sistem yang tepat, tetapi juga memiliki personel terlatih untuk menggunakannya, katanya.

Kepegawaian peran teknologi bernilai tinggi seperti insinyur keamanan terus menjadi masalah bagi perusahaan. Hampir 1 dari 10 organisasi yang disurvei untuk laporan State of Security Operations oleh TechBeacon mengatakan kurangnya bakat terampil adalah tantangan keamanan siber No. 1 pada tahun 2021—dan hampir 30% mengatakan itu adalah salah satu dari tiga hambatan utama mereka.

Bakat teknologi terkemuka dapat dipekerjakan melalui jaringan kontingen, seperti Toptal, untuk membantu mengisi celah tersebut. Pengembang in-the-treches dan pemimpin teknologi seperti Dimmer telah banyak diminati selama beberapa dekade tetapi bahkan lebih sekarang karena kekurangan besar-besaran pekerja keamanan siber. Asosiasi Keamanan Sistem Informasi memperkirakan kesenjangan 4 juta profesional di industri pada tahun 2019, dan surveinya terhadap para pemimpin TI pada tahun 2021 menemukan bahwa kesenjangan tersebut telah melebar.

Beberapa pemimpin perusahaan mungkin ragu untuk menggunakan bakat luar untuk proyek keamanan yang paling sensitif, seperti memasukkan pekerja lepas di parit SecOps. Namun, mengalihkan sebagian operasi keamanan ke talenta eksternal, pada kenyataannya, sudah menjadi norma: Lebih dari setengah organisasi yang disurvei oleh TechBeacon melaporkan bahwa mereka menggunakan kombinasi sumber daya internal dan eksternal untuk menangani fungsi keamanan siber mereka.

Masa Depan Memerangi Kejahatan Dunia Maya

Sejauh ini, perangkat lunak AI peringatan dini Subrahmanian telah terbukti 70% efektif dalam memprediksi serangan ransomware dalam model eksperimental, katanya. Jika pengujian terus berjalan dengan baik, dia berharap untuk mempublikasikan perkiraan serangan dunia nyata yang dimulai pada pertengahan 2022.

Penelitiannya juga berfokus pada kesenjangan antara kapan kerentanan dalam perangkat lunak diidentifikasi dan ketika tambalan perangkat lunak dan pembaruan keamanan tersedia secara luas untuk publik. Temuan awal dari penelitian ini mengungkapkan bahwa hampir setengah dari serangan malware terjadi selama periode ini, yang rata-rata berlangsung sekitar 132 hari. Periode kerentanan yang diperpanjang ini membuat pengejarannya akan model prediktif yang efektif menjadi semakin penting untuk menghentikan peretas pada awal ancaman baru.

Sementara itu, Big Tech sedang melangkah. Google telah berkomitmen untuk membelanjakan $10 miliar selama lima tahun ke depan untuk membantu mengamankan rantai pasokan perangkat lunak dan memperluas penggunaan sistem tanpa kepercayaan, kerangka kerja keamanan yang mengharuskan semua pengguna internal dan eksternal diautentikasi secara terus-menerus. Microsoft menawarkan $150 juta dalam layanan teknis untuk membantu pemerintah daerah di AS meningkatkan pertahanan mereka. Dan Amazon telah berjanji untuk mulai menawarkan pelatihan kesadaran keamanan yang sama yang diberikan kepada karyawannya kepada publik dan membuat otentikasi dua langkah gratis untuk semua klien Amazon Web Services (AWS).

Memerangi ransomware sebagai ancaman yang terus berkembang akan membutuhkan desa global, kata Subrahmanian, dan perusahaan—besar dan kecil—harus menjadi bagian darinya.

Terkait: Jelajahi Direktori Keterampilan Pengembang Toptal untuk Talent SecOps