Perusahaan ini terkena ransomware, tetapi tidak perlu membayar.  Begini cara mereka melakukannya
Security

Perusahaan ini terkena ransomware, tetapi tidak perlu membayar. Begini cara mereka melakukannya

Tidak pernah ada waktu yang tepat bagi organisasi untuk menjadi korban serangan ransomware, tetapi untuk Matthew Day, CIO Langs Building Supplies, panggilan telepon pada 20 Mei 2021 datang pada waktu yang mungkin paling buruk – sebelum fajar, sama seperti dia akan mengambil cuti untuk pertama kalinya dalam waktu yang lama.

“Saya pergi berlibur. Tapi saya mendapat telepon pada jam empat pagi, mengatakan pada dasarnya ‘Saya tidak bisa masuk, ada apa?'” katanya.

Day bangun dan berkendara selama 30 menit ke kantornya di Brisbane, Australia di mana perusahaan konstruksi, perlengkapan bangunan, dan pembangunan rumah berada, sambil memikirkan apa masalahnya, mungkin kegagalan perangkat keras atau pemadaman listrik yang tidak direncanakan. ?

Jawabannya menjadi jelas ketika dia tiba dan mencoba membuka sistem – sebuah catatan tebusan muncul dan berkata: “Anda telah diretas.”

MELIHAT: Strategi kemenangan untuk keamanan siber (laporan khusus ZDNet)

Langs telah menjadi korban ransomware Lorenz dan penjahat dunia maya yang telah mengenkripsi banyak server dan ribuan file menuntut pembayaran sebesar $15 juta dalam bentuk Bitcoin sebagai ganti kunci dekripsi. Seperti banyak serangan ransomware, para penjahat dunia maya juga mengatakan bahwa mereka telah mencuri informasi dan mengancam akan membocorkannya jika uang tebusan tidak dibayarkan.

“Kenyataannya adalah proposisi yang cukup menakutkan – tetapi kami dengan cepat dapat mengisolasi serangan dan memutuskannya dari jaringan,” kata Day.

Dia menduga bahwa Langs secara khusus menjadi sasaran para penjahat di balik serangan itu karena sifat bisnisnya. Pada saat itu, pemerintah Queensland menjalankan rencana respons untuk menjaga industri perdagangan dan konstruksi tetap beroperasi, sementara sebagian besar Australia masih menghadapi penguncian karena COVID-19. Dan jika pemasok bangunan seperti Langs tidak dapat melakukan bisnis, itu dapat mempengaruhi seluruh program untuk industri konstruksi regional.

“Ini adalah peristiwa tingkat makro – tidak hanya terbatas pada Langs karena jika kami tidak dapat memasok barang kepada pembangun karena kami offline, mereka tidak dapat membangun rumah itu. Itu hanya meningkatkan tekanan,” katanya.

Banyak korban ransomware memilih untuk membayar uang tebusan, baik karena mereka merasa tidak punya pilihan lain atau mereka menganggapnya sebagai cara termudah untuk memulihkan jaringan – meskipun, bahkan dengan kunci dekripsi, ini bisa memakan waktu lama. -proses keluar

Untuk Langs and Day, bagaimanapun, gagasan membayar uang tebusan bukanlah pilihan – dan mereka memiliki perangkat lunak pemulihan yang memungkinkan mereka untuk menganalisis data apa yang telah dienkripsi atau dimodifikasi dan memulihkan jaringan dari cadangan yang disimpan secara terpisah ke seluruh jaringan. dalam hitungan jam, dengan gangguan minimal terhadap layanan.

“Saya cukup yakin tentang sisi data – kami menggunakan Rubrik. Kami memastikan itu memiliki otentikasi multi-faktor (MFA) di dalamnya dan tidak memiliki kredensial bersama, jadi ini adalah taman bertembok,” kata Day. “Orang-orang ini segera ingin mengejar cadangan Anda karena itu meningkatkan tekanan, jadi jika mereka tidak bisa mendapatkan cadangan Anda, Anda berada di tempat yang baik.”

Tapi ini tidak menghentikan penjahat dunia maya dari mencoba memeras pembayaran tebusan – mereka mengirim email ke semua staf di Langs, mengklaim bahwa mereka telah mencuri data dan mengancam akan menjualnya di web gelap jika pembayaran tidak diterima oleh pihak tertentu. tanggal.

Sementara 13 gigabyte data telah meninggalkan jaringan, ternyata menjadi lalu lintas ping, jadi tidak ada yang bisa menjadi risiko keamanan atau privasi bagi pelanggan atau karyawan Langs. Menerima email itu mengejutkan staf, tetapi Day mampu menjelaskan situasinya dan meyakinkan orang-orang bahwa, meskipun penjahat dunia maya telah menghubungi mereka, tidak ada yang perlu dikhawatirkan.

“Anda harus berkomunikasi dengan orang-orang, menjelaskannya kepada mereka. Kami dapat menunjukkan kepada bisnis bahwa mereka [the cyber criminals] bermain ayam dan kami tidak akan berkedip dulu. Jadi kami tidak membayar uang tebusan, hari itu tiba – dan tidak ada yang terjadi,” kata Day.

Penyelidikan atas insiden tersebut mengungkapkan bahwa peretas awalnya memperoleh akses ke jaringan melalui email phishing. Tapi ini bukan email phishing dasar biasa; penyerang telah melakukan penelitian mereka dan mengirimkannya ke karyawan Langs dari akun email yang sah dari karyawan asli di pemasok yang telah mereka kompromikan.

MELIHAT: Keamanan cloud pada tahun 2021: Panduan bisnis untuk alat penting dan praktik terbaik

Langs telah menyiapkan daftar izin untuk memverifikasi email yang berasal dari pemasok yang dikenal – dan penyerang dapat memanfaatkannya, setelah memeriksa email yang dikirim dan diterima oleh akun yang disusupi dan secara khusus menyesuaikan email yang dikirim ke korban yang membukanya dan secara tidak sengaja memicu menyerang.

“Mereka menanggapi perintah yang kami kirimkan dengan cara yang benar; ini adalah permainan yang sangat cerdas untuk orang-orang ini. Itu datang dari akun yang diverifikasi, dari satu orang pada satu waktu dan dengan cara yang diharapkan oleh pengguna. , anggota staf saya, dengan format yang benar dan mengutip nomor valid yang benar, jadi itu bukan akun palsu, itu bukan akun palsu, itu real deal,” jelas Day.

Email tersebut meminta pengguna untuk mengunjungi portal yang tampak persis seperti situs web pemasok, kecuali yang ini meminta nama pengguna dan kata sandi – dan karena korban telah ditipu dengan mengira mereka menanggapi pesan dari kontak yang sah, mereka memasukkan informasi tersebut, secara tidak sengaja memberikan kredensial login kepada penjahat dunia maya yang mereka eksploitasi untuk akses awal ke jaringan.

Tetapi Day tidak menyalahkan pengguna, karena sifat email phishing yang canggih dan ditargetkan membuat kebanyakan orang sulit mengidentifikasinya sebagai pesan yang mencurigakan.

“Kita bisa mendaratkan pesawat, 99,9995% dari waktu, jangan khawatir, tetapi hanya membutuhkan satu desimal untuk menyebabkan insiden besar, dan ini tidak berbeda – jadi saya tidak bisa terlalu keras pada pengguna saya untuk jatuh untuk ini. , karena terlihat legit,” katanya.

Akses awal dengan kredensial yang sah memungkinkan penyerang untuk mengintip jaringan tanpa diketahui, meletakkan dasar untuk mengenkripsi sebanyak mungkin sebelum memicu serangan ransomware.

Perangkat lunak pemulihan dan pencadangan data berarti bahwa dampak serangan ransomware relatif ringan, tetapi bisa menjadi jauh lebih buruk – dan Day menggunakan insiden tersebut untuk memeriksa bagaimana keamanan siber di Langs dapat ditingkatkan.

MELIHAT: Keamanan siber: Mari kita taktis (Fitur khusus ZDNet)

Salah satu taktik itu adalah memastikan bahwa otentikasi multi-faktor (MFA) diterapkan ke lebih banyak akun. Day sebelumnya telah mendorongnya untuk diterapkan pada pengguna, tetapi hal itu dilihat sebagai penghalang produktivitas. Menengok ke belakang, dia percaya jika perusahaan mendengarkan sarannya dan menerapkan otentikasi multi-faktor, serangan itu bisa dicegah.

“Saya seharusnya lebih fokus pada akses eksternal dan MFA. Karena kami sudah membicarakannya cukup lama dan saya mendorongnya, tetapi perusahaan menolak karena dianggap sebagai beban berat bagi pengguna. ; satu hal lagi yang harus mereka pelajari dan tangani,” kata Day.

“Jika saya memiliki MFA, kami dapat menghentikan serangan khusus ini di jalurnya dan saya senang untuk mengatakan bahwa kami sekarang dapat memiliki MFA di desktop eksternal tersebut.”

Cara serangan berasal melalui email pemasok yang disusupi juga telah mengakibatkan Langs mengambil pendekatan yang lebih langsung terhadap keamanan rantai pasokannya, membantu pemasok dan pelanggan yang paling sering berurusan dengannya untuk membuat jaringan mereka lebih tahan terhadap serangan siber.

“Kami tidak ada dalam gelembung kecil kami sendiri, gelembung kami harus menyertakan pelanggan dan pemasok kami dalam siklus hidup rantai pasokan itu dan memastikan kami mengamankannya dari ujung ke ujung,” jelas Day.

Ransomware adalah salah satu ancaman keamanan siber paling signifikan yang dihadapi bisnis saat ini, tetapi bahkan ketika organisasi berhasil melawan serangan ransomware tanpa membayar uang tebusan kepada penjahat siber, hanya sedikit yang mau membicarakan apa yang terjadi. Jadi, mengapa Day mau membicarakannya ketika hanya sedikit orang lain yang mau membicarakannya?

“Membicarakannya adalah sedikit ‘milikmu’. Saya juga ingin memberdayakan orang lain untuk berbicara tentang hal-hal ini. Jika saya membicarakannya, tidak ada hal buruk yang terjadi – itu hanya mendorong orang lain untuk melakukannya,” dia mengatakan.

Day berharap berbicara tentang insiden tersebut, bagaimana hal itu terjadi dan apa yang dipelajari dapat membantu bisnis lain bertahan melawan ransomware, dan yang terpenting, membantu mereka meyakinkan ruang rapat tentang pentingnya menanggapi ancaman keamanan siber dengan serius.

“Jika, dengan maju dan membicarakan hal-hal ini, saya mendorong CIO, manajer TI, atau profesional TI lainnya untuk pergi dan berdiskusi tentang cara melindungi data mereka, bagaimana mereka menangani tata kelola data, atau perencanaan dan proses keamanan siber, sehingga mereka dapat melindungi mata pencaharian karyawan dan kolega mereka, rasanya lebih baik,” katanya.

LEBIH BANYAK TENTANG KEAMANAN SIBER

Posted By : togel hari ini hongkong