Tag
Storage

Cara menghadapi serangan ransomware

Ilustrasi grafis dari sidik jari yang memberikan akses ke sistem digital

Ini adalah berita yang tidak ingin didengar organisasi: Anda telah menjadi korban serangan ransomware, dan sekarang bertanya-tanya apa yang harus Anda lakukan selanjutnya. 

Hal pertama yang perlu diingat adalah Anda tidak sendirian. Lebih dari 17% dari semua serangan siber melibatkan ransomware, jenis malware yang mengunci data atau perangkat korban hingga korban membayar tebusan kepada peretas. Dari 1.350 organisasi yang disurvei dalam studi baru-baru ini, 78% telah mengalami serangan ransomware yang berhasil.

Serangan ransomware menggunakan beberapa metode, atau vektor, untuk menginfeksi jaringan atau perangkat, termasuk menipu individu untuk mengklik tautan berbahaya menggunakan email phishing dan mengeksploitasi kerentanan dalam perangkat lunak dan sistem operasi, seperti akses jarak jauh. Penjahat siber biasanya meminta bayaran tebusan dalam Bitcoin dan mata uang kripto lain yang sulit dilacak, memberi korban kunci dekripsi setelah melakukan pembayaran untuk membuka perangkat mereka.

Kabar baiknya adalah bahwa jika terjadi serangan ransomware, ada langkah-langkah dasar yang dapat diikuti organisasi mana pun untuk membantu menangani serangan, melindungi informasi sensitif, dan memastikan keberlangsungan bisnis dengan meminimalkan waktu henti.

Buletin industri

Berita teknologi terbaru, didukung oleh insight dari pakar

Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.

Terima kasih! Anda telah berlangganan.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.

Respon awal

Isolasi sistem yang terkena dampak 

Karena varian ransomware yang paling umum memindai jaringan untuk mencari kerentanan untuk menyebar secara lateral, sangat penting untuk mengisolasi sistem yang terdampak secepat mungkin. Putuskan sambungan ethernet dan nonaktifkan WiFi, Bluetooth, dan semua jaringan lainnya untuk perangkat yang terinfeksi atau berpotensi terinfeksi.

Dua langkah lain yang perlu dipertimbangkan: 

  • Menghentikan tugas-tugas pemeliharaan. Segera nonaktifkan tugas-tugas otomatis, misalnya, menghapus file sementara atau merotasi log, pada sistem yang terpengaruh. Tugas-tugas ini dapat merusak file dan menghambat penyelidikan dan pemulihan ransomware. 
  • Memutuskan sambungan ke sistem cadangan. Karena banyak jenis ransomware baru menargetkan cadangan untuk mempersulit pemulihan, simpan cadangan data secara offline. Batasi akses ke sistem cadangan sampai Anda menghapus infeksi.

Dokumentasikan permintaan tebusan

Sebelum melanjutkan dengan hal lain, dokumentasikan permintaan tebusan. Idealnya, ambil foto dari layar perangkat yang terdampak dengan perangkat terpisah seperti smartphone atau kamera. Foto tersebut akan mempercepat proses pemulihan dan membantu saat mengajukan laporan polisi atau kemungkinan klaim dengan perusahaan asuransi Anda.

Beri tahu tim keamanan

Setelah Anda memutuskan semua sambungan ke sistem yang terpengaruh, beri tahu tim keamanan TI Anda tentang serangan tersebut. Dalam kebanyakan kasus, staf keamanan TI dapat memberi saran untuk langkah selanjutnya dan mengaktifkan rencana respons insiden organisasi Anda, yaitu proses dan teknologi yang digunakan untuk mendeteksi dan menanggapi serangan siber.

Jangan mulai ulang perangkat yang terdampak

Saat menghadapi ransomware, hindari untuk memulai ulang perangkat yang terinfeksi. Peretas tahu ini mungkin insting pertama Anda, dan beberapa jenis ransomware mendeteksi upaya mulai ulang dan menyebabkan kerusakan tambahan, seperti merusak Windows atau menghapus file terenkripsi. Reboot juga dapat mempersulit penyelidikan serangan ransomware. Petunjuk berharga disimpan dalam memori komputer, yang akan dihapus saat perangkat dimulai ulang. 

Sebaliknya, tempatkan sistem yang terkena dampak dalam mode hibernasi. Ini akan menyimpan semua data dalam memori ke file referensi pada hard drive perangkat, menyimpannya untuk analisis di masa mendatang.

Gabungan Para Pakar | 28 Agustus, episode 70

Decoding AI: Rangkuman Berita Mingguan

Bergabunglah dengan panel insinyur, peneliti, pemimpin produk, dan sosok kelas dunia lainnya selagi mereka mengupas tuntas tentang AI untuk menghadirkan berita dan insight terbaru seputar AI.
Simak episode terbaru podcast

Pemberantasan

Sekarang setelah Anda mengisolasi perangkat yang terpengaruh, Anda mungkin ingin membuka perangkat dan memulihkan data. Meskipun memberantas infeksi ransomware merupakan hal yang rumit untuk dikelola, terutama untuk varian tingkat lanjut, langkah-langkah berikut dapat membantu Anda memulai proses pemulihan. 

Tentukan varian serangan

Beberapa alat gratis dapat membantu mengidentifikasi jenis ransomware yang menginfeksi perangkat Anda. Mengetahui varian spesifik dapat membantu Anda memahami beberapa faktor kunci, termasuk cara penyebarannya, file mana yang terkunci, dan cara memberantasnya. Cukup unggah sampel file terenkripsi dan, jika ada, permintaan tebusan dan informasi kontak penyerang. 

Dua jenis ransomware yang paling umum adalah pengunci layar dan enkripsi. Pengunci layar mengunci sistem Anda tetapi file tetap aman hingga Anda membayar tebusan, sedangkan enkripsi lebih sulit untuk diatasi karena mereka menemukan dan mengenkripsi semua data sensitif Anda dan hanya akan mendekripsi setelah tebusan dibayar. 

Gunakan alat dekripsi

Setelah Anda mengidentifikasi varian ransomware, pertimbangkan untuk menggunakan alat dekripsi. Tersedia alat gratis untuk membantu langkah ini, termasuk situs-situs seperti No More Ransom . Cukup masukkan nama varian ransomware dan cari dekripsi yang cocok. 

Pemulihan

Jika Anda cukup beruntung untuk menghapus infeksi ransomware, saatnya untuk memulai proses pemulihan.

Mulai dengan memperbarui kata sandi sistem, lalu pulihkan data Anda dari cadangan. Praktik terbaik adalah memiliki tiga salinan dari data Anda dalam dua format berbeda, dengan satu salinan disimpan di lokasi terpisah. Pendekatan ini, yang dikenal sebagai aturan 3-2-1, memungkinkan Anda memulihkan data Anda dengan cepat dan menghindari pembayaran tebusan. 

Setelah serangan tersebut, Anda juga harus mempertimbangkan untuk melakukan audit keamanan dan memperbarui semua sistem. Menjaga sistem tetap mutakhir membantu mencegah peretas mengeksploitasi kerentanan yang ditemukan di perangkat lunak lama, dan tambalan rutin menjaga mesin Anda tetap terkini, stabil, dan tahan terhadap ancaman malware. Anda mungkin juga ingin memperbaiki rencana respons insiden Anda dengan pelajaran apa pun yang dipetik dan memastikan Anda telah mengomunikasikan insiden tersebut dengan jelas kepada semua pemangku kepentingan yang terlibat. 

Melapor ke pihak berwenang

Karena ransomware adalah tindak pemerasan dan kejahatan, Anda harus selalu melaporkan serangan ransomware kepada petugas penegak hukum atau FBI. 

Pihak berwenang mungkin dapat membantu mendekripsi file jika upaya pemulihan Anda tidak berhasil. Tetapi bahkan jika mereka tidak dapat menyelamatkan data Anda, sangat penting bagi mereka untuk mencatat aktivitas penjahat siber dan, mudah-mudahan, membantu orang lain menghindari nasib serupa. 

Beberapa korban serangan ransomware mungkin juga diwajibkan secara hukum untuk melaporkan infeksi ransomware. Sebagai contoh, kepatuhan HIPAA umumnya mengharuskan entitas perawatan kesehatan untuk melaporkan pelanggaran data apa pun, termasuk serangan ransomware, kepada Departemen Kesehatan dan Layanan Kemanusiaan.

Membuat keputusan pembayaran tebusan

Memutuskan untuk membayar tebusan atau tidak adalah keputusan yang rumit. Sebagian besar pakar menyarankan Anda hanya mempertimbangkan untuk membayar jika Anda telah mencoba semua opsi lain dan kehilangan data akan jauh lebih merugikan daripada pembayaran.

Terlepas dari keputusan , Anda harus selalu berkonsultasi dengan petugas penegak hukum dan profesional keamanan siber sebelum bergerak maju.

Membayar tebusan tidak menjamin Anda akan mendapatkan kembali akses ke data atau bahwa penyerang akan menepati janji mereka. Korban sering membayar uang tebusan, tapi akhirnya tidak pernah menerima kunci dekripsi. Selain itu, membayar uang tebusan mendukung aktivitas penjahat siber dan dapat lebih lanjut mendanai kejahatan siber.

Mencegah serangan ransomware di masa mendatang

Alat keamanan email serta perangkat lunak anti-malware dan antivirus adalah garis pertahanan pertama yang penting untuk menghadapi serangan ransomware.

Organisasi juga mengandalkan alat keamanan titik akhir yang canggih seperti firewall, VPN, dan autentikasi multi-faktor sebagai bagian dari strategi perlindungan data yang lebih luas untuk mempertahankan diri dari pelanggaran data.

Namun, tidak ada sistem keamanan siber yang lengkap tanpa kemampuan deteksi ancaman dan respons insiden yang canggih untuk menangkap penjahat siber secara real time dan mengurangi dampak serangan siber yang berhasil.

Alat-alat seperti sistem informasi keamanan dan manajemen peristiwa (SIEM) dapat menerapkan machine learning dan analisis perilaku pengguna (UBA) ke lalu lintas jaringan bersama log tradisional untuk deteksi ancaman yang lebih cerdas dan remediasi yang lebih cepat.

 

Penulis

Annie Badman

Staff Writer

IBM Think