ArenaLTE.com - Seakan tak pernah berhenti, serangan ransomeware masih sangat aktif pada tahun 2018 ini. Bahkan kelompok di balik serangan ransomware bernama SamSam (Ransom.SamSam) terus menargetkan serangan baru.
Selama tahun 2018, sampai kini Symantec telah menemukan bukti serangan terhadap 67 institusi yang berbeda. SamSam menargetkan institusi di berbagai sektor, namun sejauh ini sektor kesehatan adalah yang paling terpengaruh dengan jumlah persentase serangan sebesar 24 persen dari total serangan yang terjadi pada 2018.
Tak jelas mengapa institusi kesehatan menjadi sasaran khusus. Para penyerang mungkin percaya bahwa institusi kesehatan lebih mudah diinfeksi. Atau mereka mungkin percaya bahwa institusi ini memiliki kemungkinan lebih besar untuk membayar tebusan.
Sejumlah institusi pemerintahan lokal di AS juga menjadi sasaran kelompok tersebut termasuk operasi informasi cyber dan an
caman terhadap integritas data pemilihan umum serta mengganggu institusi-institusi pemerintah dan operasionalnya.
Kalau sebagian besar keluarga ransomware menyebar tanpa pandang bulu, biasanya melalui spam di email atau perangkat yang tereksploitasi, SamSam digunakan dengan cara menargetkan serangannya.
Modus operandi kelompok SamSam adalah dengan mendapatkan akses ke jaringan institusi, melakukan pengintaian secara terus menerus dengan memetakan jaringan, sebelum mereka mengenkripsi sebanyak mungkin komputer dan memeras dengan mengajukan permintaan tebusan tunggal.
Para penyerang diketahui menawarkan untuk men-decrypt semua komputer untuk satu harga tebusan dan/atau menawarkan untuk melakukan decrypt pada komputer secara individual dengan biaya yang lebih murah.
Para penyerang di balik SamSam berusaha keras untuk menginfeksi sebanyak mungkin komputer dalam sebuah institusi yang ditargetkan. Beberapa software digunakan untuk melakukan serangan dan, dalam banyak kasus, penyelesaian seluruh prosesnya dapat memakan waktu beberapa hari.
Untuk meluncurkan serangannya, kelompok SamSam menggunakan taktik yang dikenal dengan istilah "living off the land" secara ekstensif: yaitu penyerang menggunakan sistem operasi atau tool administrasi jaringan milik korban sendiri.
Taktik ini sering digunakan oleh kelompok mata-mata untuk diam-diam masuk ke jaringan target. Mereka membuat aktivitasnya tampak seperti proses yang sah, mereka berharap dapat bersembunyi walaupun sudah nampak di depan mata.
Langkah Antisipasi
Mem-backup data penting adalah salah satu pilar utama dalam menangkal infeksi ransomware. Namun, karena ada kasus ransomware yang juga mengenkripsi backup, maka seharusnya backup bukanlah pengganti strategi keamanan yang kuat.
Korban harus sadar bahwa membayar uang tebusan tidak selalu berhasil menyelesaikan masalah. Penyerang mungkin tidak mengirim kunci decrypt, melainkan dapat melakukan proses decrypt dengan buruk dan dapat merusak file, dan mungkin dapat mengirimkan permintaan tebusan yang lebih besar setelah menerima pembayaran awal.
Selain itu, Symantec juga nmenyediakn beberapa tool untuk melindungi pelanggan dari serangan SamSam ini. Yaitu dengan menggunakan Ransom.SamSam Hacktool.Mimikatz. Selain itu, Symantec's Targeted Attack Analytics (TAA) mampu mengidentifikasi dan memberikan peringatan terhadap aktivitas “living off the land” yang terkait dengan serangan yang ditargetkan seperti SamSam.