Trik Baru Berbahaya Ransomware Adalah Mengenkripsi Ganda Data Anda


Grup ransomware memiliki selalu mengambil pendekatan lebih-lebih-lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — pukul mereka lagi. Atau jangan hanya mengenkripsi sistem target; mencuri datanya terlebih dahulu, jadi Anda dapat mengancam akan membocorkannya jika mereka tidak membayar. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow. “Jadi dalam pendekatan ini Anda memiliki satu aktor yang menyebarkan dua jenis ransomware. Korban mendekripsi datanya dan menemukan bahwa itu tidak benar-benar didekripsi sama sekali. ”

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

“Bahkan dalam kasus ransomware dengan enkripsi tunggal standar, pemulihan sering kali merupakan mimpi buruk yang mutlak,” kata Callow. “Tapi kami melihat taktik enkripsi ganda ini cukup sering sehingga kami merasa itu adalah sesuatu yang harus diperhatikan organisasi ketika mempertimbangkan tanggapan mereka.”

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “enkripsi sisi-demi-sisi”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B. Dalam kasus tersebut, data hanya dienkripsi sekali, tetapi korban akan membutuhkan kedua kunci dekripsi untuk membuka semuanya. Para peneliti juga mencatat bahwa dalam skenario berdampingan ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi penanggap insiden untuk memilah apa yang terjadi.

Geng ransomware sering kali beroperasi dengan model bagi hasil, di mana satu kelompok membangun dan memelihara jenis ransomware dan kemudian menyewakan infrastruktur serangannya kepada “afiliasi” yang melakukan serangan tertentu. Callow mengatakan bahwa enkripsi ganda cocok dengan model ini dengan memungkinkan klien yang ingin meluncurkan serangan untuk menegosiasikan perpecahan dengan dua geng yang masing-masing dapat menyediakan jenis malware yang berbeda.

Pertanyaan apakah membayar tebusan digital adalah pertanyaan yang sulit dan penting. Dan korban ransomware yang memilih untuk membayar sudah perlu mewaspadai kemungkinan bahwa penyerang tidak benar-benar memberikan kunci dekripsi. Tetapi munculnya enkripsi ganda sebagai strategi meningkatkan risiko tambahan bahwa korban dapat membayar, mendekripsi file mereka sekali, dan kemudian menemukan bahwa mereka perlu membayar lagi untuk kunci kedua. Akibatnya, ancaman enkripsi ganda membuat kemampuan untuk memulihkan dari cadangan menjadi lebih penting dari sebelumnya.

“Memulihkan dari cadangan adalah proses yang panjang dan rumit, tetapi enkripsi ganda tidak memperumitnya lebih jauh,” kata Callow. “Jika Anda memutuskan untuk membangun kembali dari cadangan, Anda memulai dari awal, jadi tidak masalah berapa kali data lama telah dienkripsi.”

Untuk korban ransomware yang pada awalnya tidak memiliki cadangan yang memadai atau tidak ingin meluangkan waktu untuk merekonstruksi sistem mereka dari awal, serangan enkripsi ganda merupakan ancaman tambahan. Jika ketakutan akan serangan enkripsi ganda membuat korban cenderung tidak membayar secara keseluruhan, penyerang dapat mundur dari strategi baru.


Lebih Banyak Kisah WIRED Hebat

Diposting oleh : SGP Prize