Semua yang Perlu Anda Ketahui Tentang Fileless Ransomware

Pasar ransomware telah berkembang. Generasi baru agen jahat telah tiba. Ini ditandai oleh sembunyi-sembunyi dan telah membuat korban di banyak perusahaan telekomunikasi, lembaga pemerintah, dan lembaga perbankan dll. Serangan ini telah mendorong departemen TI di perusahaan di seluruh dunia untuk tetap waspada. Peringatan terperinci telah dikeluarkan kepada pekerja untuk tidak membuka lampiran email tanpa jaminan dan untuk menghindari mengunjungi situs web yang dicurigai dan aplikasi pihak ketiga. Secara teknis dikenal sebagai ransomware tanpa fileless atau malware, alat ini adalah ancaman utama. Mereka menggunakan bahasa skrip PowerShell Microsoft untuk menargetkan organisasi menggunakan dokumen dan / atau aplikasi yang berjalan melalui makro.


Semua yang Perlu Anda Ketahui Tentang Fileless Ransomware

Semua yang Perlu Anda Ketahui Tentang Fileless Ransomware

Apa itu PowerShell??

Bahasa pemrograman berorientasi otomatisasi tugas, PowerShell digunakan dalam MS OS bersama dengan lebih dari 100 alat baris perintah.

Apa Yang Dilakukan Fileless Ransomware untuk PowerShell?

Ransomware memanfaatkan skrip atau makro berbasis PowerShell untuk enkripsi file. Ini berbeda dari ransomware tradisional yang melakukan enkripsi file berbasis data.

Gambaran Umum Serangan Tanpa Filis

Di antara peretasan terbesar dalam sejarah dilakukan tanpa filem. Pada tahun 2016, seseorang mencuri dokumen dari Komite Nasional Demokrat (DNC) yang kemudian dirilis untuk mempengaruhi pemilihan presiden tahun itu. Ini dilakukan melalui email phising dengan tautan yang dikompromikan dikirimkan ke pekerja DNC. Setelah diklik, serangan muncul untuk bekerja melalui PowerShell dan WMI.

Menurut Charles Gaughf, Security Lead with (ISC) ², NPO keamanan online, serangan fileless umumnya di-host oleh tautan phishing dan situs web drive-by.

Serangan lain menggunakan media tanpa filet menghantam lebih dari 140 bank dan organisasi keuangan dari lebih dari 40 negara pada awal 2017. Penyerang masuk ke sistem menggunakan server yang tidak ditambal.

Kemudian dimuat kode kompromi ke dalam memori menggunakan skrip PowerShell dan Windows Registry.

Selanjutnya, para penyerang mendapat kendali atas sistem menggunakan utilitas sistem standar yang terdiri dari utilitas baris perintah seperti NETSH dan SC.

Akses jarak jauh ini memungkinkan mereka untuk mengatur malware ATMitch yang tahan memori. Ini dilakukan pada ATM yang kemudian diperintahkan untuk mengeluarkan uang mereka. Para penyerang mengambil uang tunai ini dan pergi. Karena tidak ada file di sistem apa pun, mendeteksi pelanggaran itu sangat sulit.

Dua Cara Utama Sistem Infiltrate Ransomware Tanpa Filus

Menggunakan serangan phishing yang dihasilkan melalui email, penyerang dapat memasukkan makro ke dalam memori sistem. Ini mengarah pada tuntutan tebusan yang dihasilkan secara otomatis dan enkripsi data.

Cara kedua adalah melalui situs web yang tidak aman yang diakses oleh seorang pekerja. Ini memungkinkan penyerang menargetkan RAM melalui skrip. Ini memungkinkan mereka mendapatkan akses ke informasi dan menuntut pembayaran mata uang kripto. Jika tidak, data mereka akan dienkripsi dan tidak berguna.

Jenis Serangan Tanpa Filis

Ada empat jenis dasar ransomware fileless yang harus Anda ketahui:

  • Serangan memori-eksklusif: Serangan-serangan ini mengakses memori layanan Windows untuk menyebarkan jangkauan mereka. Mereka tiba di pasar pada awal 2001. Namun, mereka dapat diselesaikan dengan memulai kembali sistem.
  • Teknik kegigihan tanpa fileless: Serangan seperti itu tidak dapat dihapus dengan restart sederhana bahkan jika hard disk tidak terinfeksi. Ini dilakukan dengan menggunakan Windows Registry untuk menyimpan skrip infeksi, yang melanjutkan infeksi bahkan setelah reboot.
  • Alat penggunaan ganda: Serangan semacam itu dilakukan dengan menginfeksi aplikasi sistem Windows. Ini dilakukan untuk mendapatkan akses ke sistem target atau untuk mentransfer data ke penyerang.
  • Serangan file Non-Portable Executable (PE): Serangan semacam itu menggunakan alat dan skrip untuk membuat dampaknya melalui PowerShell, CScript, atau WScript.

Mengapa Ransomware begitu Populer?

Ransomware mudah digunakan. Biasanya, perusahaan tidak berpikir dua kali sebelum membayar tebusan daripada mengambil risiko kehilangan data atau mendapatkan publisitas yang buruk. Munculnya cryptocurrency juga telah meningkatkan viabilitas ransomware. Metode pembayaran anonim membuat para peretas memiliki cara yang sulit untuk melacak uang dari korban mereka. Pada saat yang sama, transfer mata uang kripto tidak dapat dibalik dan dengan demikian, mereka efektif serta aman.

Apa yang Membuat Fileless Ransomware Unik?

Ransomware fileless unik karena sulit dideteksi. Ini karena bahasa scripting asli atau RAM akan disuntikkan dengan kode infeksi. Ini memungkinkannya bersembunyi di memori dan menjalankan perintah dari sana.

Apa yang Dibutuhkan Serangan Fileless Ransomware?

  1. Ransomware fileless secara efektif tidak bisa dilacak bahkan dengan antivirus kelas komersial.
  2. Serangan-serangan ini membuat sistem Anda terbuka lebar untuk dieksploitasi oleh penjahat cyber. Mereka dapat melakukan segala macam hal dengan jaringan atau perangkat Anda begitu mereka meretasnya termasuk pencurian data / enkripsi tanpa terdeteksi.
  3. Mereka juga membuka perangkat yang dikompromikan untuk beberapa serangan. Ini karena penyerang dapat menulis skrip sambil memperoleh informasi dari perangkat yang dikompromikan.

Melindungi Diri Anda dari Fileless Ransomware

Meskipun ransomware fileless secara efektif tidak terdeteksi oleh perangkat lunak antivirus biasa, ada sejumlah hal yang dapat Anda lakukan untuk mencegahnya. Hal pertama yang harus dilakukan adalah memastikan data penting Anda tidak diakses oleh siapa pun. Yang kedua adalah memastikan bahwa kerentanan Anda melalui kesalahan manusia tidak terekspos.

Ini berarti bahwa karyawan Anda perlu tahu tentang rekayasa sosial dan bagaimana mereka dapat mencegahnya. Tentu saja, Anda juga akan memerlukan sistem yang diperbarui yang memiliki semua tambalan keamanan terbaru. Ada beberapa tips dan saran yang diberikan di bawah ini untuk lebih meningkatkan keamanan Anda dari ransomware tanpa fileless:

Lebih banyak tips

  • Pastikan Data Anda Dicadangkan: Tetap terlindungi adalah soal sadar akan serangan. Anda harus memastikan bahwa seseorang melacak data Anda dan membuat cadangan file penting. Ini akan memungkinkan Anda untuk melucuti serangan seperti itu dengan mengakses titik pemulihan yang tidak terpengaruh oleh pelanggaran.
  • Tetap waspada: Matikan semua makro. Jika tidak, jangan membuka file yang Anda tidak yakin. Jika Anda ragu, Anda harus menghubungi admin TI Anda.
  • Hentikan Email Berbahaya, halaman web, dan interaksi melalui browser dan server. Anda harus mengikuti kehati-hatian saat berurusan dengan email yang berpotensi berbahaya. Cukup blokir apa pun yang tampaknya tidak asli atau bahkan memiliki rasa shadiness sekecil apa pun.  

Dengan hanya sedikit hati-hati, Anda dapat tetap terlindungi dari semua jenis ransomware – reguler atau fileless.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me