Bypass MFA: Ancaman Baru di Tengah Taktik Canggih Ransomware

Ransomware diakui sebagai ancaman keamanan siber yang paling signifikan di berbagai industri. Menurut SpyCloud, 75% organisasi telah mengalami serangan ransomware lebih dari satu kali dalam 12 bulan terakhir, meningkat dari 61% pada tahun 2023.

Serangan Pembajakan Sesi sebagai Ancaman Utama Ransomware

Alat dan solusi tradisional seperti antivirus dan Multi-Factor Authentication (MFA) memiliki keterbatasan. Untuk organisasi yang terkena ransomware tahun lalu, penghindaran MFA melalui pembajakan diidentifikasi sebagai ancaman signifikan terkait ransomware. Data menunjukkan bahwa setidaknya 54% perangkat yang terinfeksi malware infostealer memiliki antivirus atau solusi deteksi dan respons titik akhir (EDR) terpasang pada saat terjadinya infeksi.

Meskipun demikian, masih banyak responden yang menganggap MFA sebagai langkah mitigasi paling umum kedua dalam penanggulangan malware, yang menunjukkan perlunya mendesak untuk menerapkan strategi baru.

Industri yang Berisiko Terkena Serangan Ransomware

Berdasarkan data malware yang dikumpulkan oleh SpyCloud dari industri yang disurvey, serta laporan serangan ransomware sebelumnya, prediksi menunjukkan bahwa industri asuransi dan kesehatan akan menjadi yang paling berisiko pada tahun 2024:

• Asuransi: 6,3 kali lebih mungkin mengalami serangan ransomware
• Kesehatan: 2,1 kali lebih mungkin mengalami serangan ransomware

Para CIO, CISO, dan eksekutif keamanan TI memiliki tingkat kepercayaan yang hampir dua kali lipat (91%) dibandingkan dengan rekan-rekan praktisi keamanan (54%) terkait kemampuan organisasi mereka dalam mencegah serangan ransomware besar-besaran. Hal ini menggambarkan adanya bayangan yang hilang antara pengambil keputusan utama dan waktu operasional soal kesiapansiagaan terhadap ancaman ini.

“Diiringi dengan semakin banyaknya operator ransomware yang mengeksploitasi data yang disusupi infostealer, seperti sesi cookie, jelas bahwa pertahanan tradisional tidak lagi memadai,” ujar Damon Fleury, CPO di SpyCloud. “Organisasi harus beralih ke pendekatan yang berfokus pada identitas untuk remediasi malware dan pencegahan ransomware. Ini berarti memperluas perlindungan yang melampaui perangkat dan langsung menangani identitas digital yang terekspos. Langkah pertama adalah mengetahui data yang telah disimpan, dan langkah kedua adalah cepat memulihkan kredensial yang mempengaruhi serta menghentikan sesi web yang disimpan, termasuk akses SSO, VPN, dan aplikasi SaaS.”

Peningkatan Pembayaran Uang Tebusan

Kesuksesan operator ransomware menyebabkan peningkatan jumlah organisasi yang terkena dampak ransomware. Lebih dari 90% organisasi melaporkan terkena dampak ransomware dalam setahun terakhir, naik dari 81% pada tahun 2023. Dalam konteks ini, 'terkena dampak' berarti tim harus mengalokasikan sumber daya untuk menangani upaya atau serangan ransomware yang signifikan.

Data juga menunjukkan peningkatan signifikan dalam jumlah organisasi yang membayar uang tebusan: 62% tahun ini dibandingkan dengan 48% tahun lalu. Meski begitu, hanya sekitar akhir dari organisasi tersebut yang berhasil memulihkan data secara penuh. Hal ini mengingatkan kita bahwa menyerah pada tuntutan kejahatan tetaplah berisiko.

Selain uang tebusan yang dijalankan, biaya keseluruhan dari serangan ransomware terus meroket, dengan lebih dari 44% bisnis kini mengeluarkan lebih dari $1 juta untuk total biaya, meningkat dari 39% pada tahun lalu. Biaya ini mencakup gangguan operasional, kehilangan bisnis, penurunan produktivitas, serta kerusakan reputasi, yang semuanya berdampak signifikan terhadap keuntungan organisasi.

Peningkatan Infostealer Malware dan Paparan Identitas Digital

Tindak kriminal siber kini menggunakan taktik generasi baru dengan memanfaatkan pencuri informasi malware (infostealer) untuk mencuri data identitas digital, autentikasi detail, dan sesi cookie dari pengguna yang terinfeksi, kemudian menjual informasi ini kepada operator ransomware. Hal ini membuat hampir seluruh responden (99,8%) khawatir tentang tren ini.

Sekitar 61% dari semua pelanggaran data tahun lalu terkait dengan malware, dengan infostealer bertanggung jawab atas pencurian 343,78 juta kredensial. Satu dari lima orang mengalami infeksi infostealer yang pada umumnya mengekspos 10-25 kredensial aplikasi pihak ketiga, menciptakan peluang eksploitasi lebih lanjut oleh operator ransomware. Pertumbuhan tajam dalam eksposur identitas digital dalam beberapa tahun terakhir menyenangkan situasi ini, memicu meningkatnya serangan siber yang ditargetkan seperti ransomware.

Peserta mengidentifikasi akses pihak ketiga sebagai titik masuk paling umum kedua untuk ransomware dan 82% merasa sangat khawatir atau sangat mengakui risiko yang ditimbulkan oleh perangkat pihak ketiga. Profesional keamanan di sektor teknologi dan manufaktur memiliki kekhawatiran paling tinggi terkait isu ini.

Tim keamanan sering kali tidak memiliki visibilitas yang mampu terhadap risiko yang muncul dari titik akhir ini, sehingga sulit bagi organisasi untuk mempertahankan diri secara efektif. Di sisi lain, peserta survei menilai bahwa deteksi perangkat pihak ketiga atau perangkat yang tidak dikelola yang terinfeksi malware adalah kemampuan yang paling tidak dimiliki organisasi saat ini.

Peningkatan Respons Terhadap Infeksi Malware

Meskipun terdapat konteks bahwa masih banyak yang harus dilakukan untuk menangani masalah pencurian informasi, penelitian menunjukkan bahwa organisasi mulai membuat kemajuan. Tindakan rutin yang kini dilakukan oleh tim keamanan dalam menanggapi infeksi malware pada perangkat yang terinfeksi adalah: menyelidiki kejadian (79%), mengatur ulang kata sandi untuk aplikasi yang mungkin terkontaminasi (77%), dan mencoba menghapus malware (67%).

Terdapat peningkatan signifikan dalam pengaturan ulang kata sandi (dari 64% pada tahun 2023), yang dapat menjadi indikasi perkembangan positif dalam kematangan organisasi. Namun, pengaturan ulang dan penghapusan secara "brute force" tidak menyelesaikan masalah mendasar terkait data yang dicuri dan akses ilegal yang mungkin terjadi. Memeriksa log untuk menganalisis paparan dan menentukan jalur remediasi yang tepat harus menjadi prioritas utama. Namun, hanya 55% tim keamanan yang melakukan hal ini pada tahun ini, turun dari 73% tahun lalu.

“Untuk melawan ransomware dan ancaman signifikan lainnya, organisasi harus mengadopsi strategi berlapis yang mencakup langkah-langkah remediasi pasca-infeksi seperti mengatur ulang kredensial aplikasi dan membatalkan sesi cookie yang telah diperiksa oleh malware infostealer,” Fleury.