Cara menangani serangan ransomware – Blog IBM

Ini adalah berita yang tidak ingin didengar oleh organisasi mana pun―Anda telah menjadi korban a ransomware menyerang, dan sekarang Anda bertanya-tanya apa yang harus dilakukan selanjutnya. 

Hal pertama yang perlu diingat adalah Anda tidak sendirian. Lebih dari 17 persen serangan siber melibatkan ransomware-tipe dari malware yang membuat data atau perangkat korban tetap terkunci kecuali korban membayar uang tebusan kepada peretas. Dari 1,350 organisasi yang disurvei dalam studi terbaru, 78 persen berhasil mengalami serangan ransomware (tautan berada di luar ibm.com).

Serangan Ransomware menggunakan beberapa metode, atau vektor, untuk menginfeksi jaringan atau perangkat, termasuk menipu individu agar mengeklik tautan jahat menggunakan Phishing email dan mengeksploitasi kerentanan dalam perangkat lunak dan sistem operasi, seperti akses jarak jauh. Penjahat dunia maya biasanya meminta pembayaran tebusan dalam bentuk Bitcoin dan mata uang kripto lain yang sulit dilacak, memberikan korban kunci dekripsi pembayaran untuk membuka kunci perangkat mereka.

Kabar baiknya adalah jika terjadi serangan ransomware, terdapat langkah-langkah dasar yang dapat diikuti oleh organisasi mana pun untuk membantu membendung serangan tersebut, melindungi informasi sensitif, dan memastikan kelangsungan bisnis dengan meminimalkan waktu henti.

Respon awal

Isolasi sistem yang terkena dampak 

Karena varian ransomware yang paling umum memindai jaringan untuk mencari kerentanan agar dapat menyebar secara lateral, sistem yang terkena dampak harus diisolasi secepat mungkin. Putuskan sambungan ethernet dan nonaktifkan WiFi, Bluetooth, dan kemampuan jaringan lainnya untuk perangkat yang terinfeksi atau berpotensi terinfeksi.

Dua langkah lain yang perlu dipertimbangkan: 

• Mematikan tugas pemeliharaan. Segera nonaktifkan tugas otomatis—misalnya, menghapus file sementara atau memutar log—sistem yang terpengaruh. Tugas-tugas ini mungkin mengganggu file dan menghambat penyelidikan dan pemulihan ransomware. 
• Memutuskan sambungan cadangan. Karena banyak jenis ransomware baru yang menargetkan pencadangan untuk mempersulit pemulihan, simpanlah pencadangan data secara offline. Batasi akses ke sistem cadangan sampai Anda berhasil menghilangkan infeksinya.

Fotolah catatan tebusan

Sebelum melanjutkan dengan hal lain, ambil foto catatan tebusan—idealnya dengan memotret layar perangkat yang terpengaruh dengan perangkat terpisah seperti ponsel cerdas atau kamera. Foto tersebut akan mempercepat proses pemulihan dan membantu saat mengajukan laporan polisi atau kemungkinan klaim ke perusahaan asuransi Anda.

Beritahu tim keamanan

Setelah Anda memutuskan sambungan sistem yang terpengaruh, beri tahu Anda Keamanan TI tim penyerang. Dalam kebanyakan kasus, profesional keamanan TI dapat memberikan saran mengenai langkah berikutnya dan mengaktifkan organisasi Anda respon insiden rencana, yang berarti proses dan teknologi organisasi Anda untuk mendeteksi dan merespons serangan siber.

Jangan mulai ulang perangkat yang terpengaruh

Saat berhadapan dengan ransomware, hindari memulai ulang perangkat yang terinfeksi. Peretas tahu bahwa ini mungkin naluri pertama Anda, dan beberapa jenis ransomware memperhatikan upaya memulai ulang dan menyebabkan kerusakan tambahan, seperti merusak Windows atau menghapus file terenkripsi. Mem-boot ulang juga dapat mempersulit penyelidikan serangan ransomware—petunjuk berharga disimpan di memori komputer, yang akan terhapus saat komputer dihidupkan ulang. 

Sebaliknya, alihkan sistem yang terkena dampak ke mode hibernasi. Ini akan menyimpan semua data di memori ke file referensi di hard drive perangkat, menyimpannya untuk analisis di masa mendatang.

Pemberantasan 

Sekarang setelah Anda mengisolasi perangkat yang terkena dampak, Anda mungkin ingin membuka kunci perangkat dan memulihkan data Anda. Meskipun memberantas infeksi ransomware bisa jadi rumit untuk ditangani, terutama jenis virus yang lebih parah, langkah-langkah berikut dapat membantu Anda menuju pemulihan. 

Tentukan varian serangan

Beberapa alat gratis dapat membantu mengidentifikasi jenis ransomware yang menginfeksi perangkat Anda. Mengetahui strain spesifiknya dapat membantu Anda memahami beberapa faktor utama, termasuk cara penyebarannya, file apa yang dikunci, dan cara menghapusnya. Cukup unggah contoh file terenkripsi dan, jika Anda memilikinya, catatan tebusan dan informasi kontak penyerang. 

Dua jenis ransomware yang paling umum adalah pengunci layar dan enkripsi. Pengunci layar mengunci sistem Anda tetapi menjaga file Anda tetap aman sampai Anda membayar, sedangkan enkripsi lebih sulit diatasi karena mereka menemukan dan mengenkripsi semua data sensitif Anda dan hanya mendekripsinya setelah Anda melakukan pembayaran tebusan. 

Cari alat dekripsi

Setelah Anda mengidentifikasi jenis ransomware, pertimbangkan untuk mencari alat dekripsi. Ada juga alat gratis untuk membantu langkah ini, termasuk situs seperti Tidak ada lagi tebusan. Cukup masukkan nama jenis ransomware dan cari dekripsi yang cocok. 

Unduh Panduan Definitif untuk Ransomware

Recovery 

Jika Anda cukup beruntung untuk menghapus infeksi ransomware, inilah saatnya untuk memulai proses pemulihan.

Mulailah dengan memperbarui kata sandi sistem Anda, lalu pulihkan data Anda dari cadangan. Anda harus selalu bertujuan untuk memiliki tiga salinan data Anda dalam dua format berbeda, dengan satu salinan disimpan di luar lokasi. Pendekatan ini, yang dikenal sebagai aturan 3-2-1, memungkinkan Anda memulihkan data dengan cepat dan menghindari pembayaran uang tebusan. 

Setelah serangan tersebut, Anda juga harus mempertimbangkan untuk melakukan audit keamanan dan memperbarui semua sistem. Menjaga sistem tetap mutakhir membantu mencegah peretas mengeksploitasi kerentanan yang ditemukan pada perangkat lunak lama, dan patching rutin menjaga mesin Anda tetap terkini, stabil, dan tahan terhadap ancaman malware. Anda mungkin juga ingin menyempurnakan rencana respons insiden dengan pembelajaran apa pun dan memastikan Anda telah mengomunikasikan insiden tersebut secara memadai kepada semua pemangku kepentingan yang diperlukan. 

Memberitahu pihak berwenang 

Karena ransomware adalah pemerasan dan kejahatan, Anda harus selalu melaporkan serangan ransomware kepada aparat penegak hukum atau FBI. 

Pihak berwenang mungkin dapat membantu mendekripsi file Anda jika upaya pemulihan Anda tidak berhasil. Namun meskipun mereka tidak dapat menyimpan data Anda, penting bagi mereka untuk membuat katalog aktivitas penjahat dunia maya dan, mudah-mudahan, dapat membantu orang lain menghindari nasib serupa. 

Beberapa korban serangan ransomware mungkin juga diwajibkan secara hukum untuk melaporkan infeksi ransomware. Misalnya, kepatuhan HIPAA umumnya mengharuskan entitas layanan kesehatan untuk melaporkan setiap pelanggaran data, termasuk serangan ransomware, kepada Departemen Kesehatan dan Layanan Kemanusiaan.

Memutuskan apakah akan membayar 

Memutuskan apakah akan melakukan pembayaran tebusan adalah keputusan yang rumit. Kebanyakan ahli menyarankan agar Anda hanya mempertimbangkan pembayaran jika Anda sudah mencoba semua opsi lain dan kehilangan data akan jauh lebih berbahaya daripada pembayaran.

Apa pun keputusan Anda, Anda harus selalu berkonsultasi dengan aparat penegak hukum dan profesional keamanan siber sebelum melanjutkan.

Membayar uang tebusan tidak menjamin Anda akan mendapatkan kembali akses ke data Anda atau bahwa penyerang akan menepati janjinya—korban sering kali membayar uang tebusan, namun tidak pernah menerima kunci dekripsi. Selain itu, membayar uang tebusan akan melanggengkan aktivitas kejahatan dunia maya dan selanjutnya dapat mendanai kejahatan dunia maya.

Mencegah serangan ransomware di masa depan

Alat keamanan email serta perangkat lunak anti-malware dan antivirus merupakan garis pertahanan pertama yang penting terhadap serangan ransomware.

Organisasi juga mengandalkan alat keamanan titik akhir tingkat lanjut seperti firewall, VPN, dan otentikasi multi-faktor sebagai bagian dari strategi perlindungan data yang lebih luas untuk bertahan dari pelanggaran data.

Namun, tidak ada sistem keamanan siber yang lengkap tanpa kemampuan deteksi ancaman dan respons insiden yang canggih untuk menangkap penjahat siber secara real-time dan memitigasi dampak serangan siber yang berhasil.

IBM Security® QRadar® SIEM menerapkan pembelajaran mesin dan analisis perilaku pengguna (UBA) pada lalu lintas jaringan bersama dengan log tradisional untuk deteksi ancaman yang lebih cerdas dan remediasi yang lebih cepat. Dalam studi Forrester baru-baru ini, QRadar SIEM membantu analis keamanan menghemat lebih dari 14,000 jam selama tiga tahun dengan mengidentifikasi positif palsu, mengurangi waktu yang dihabiskan untuk menyelidiki insiden sebesar 90%, dan mengurangi risiko mereka mengalami pelanggaran keamanan serius sebesar 60%.* Dengan QRadar SIEM, tim keamanan dengan sumber daya terbatas memiliki visibilitas dan analitik yang mereka perlukan untuk mendeteksi ancaman dengan cepat dan mengambil tindakan segera dan terinformasi untuk meminimalkan dampak serangan.

Pelajari selengkapnya tentang IBM QRadar SIEM

*Itu Dampak Ekonomi TotalTM dari Keamanan IBM QRadar SIEM adalah studi yang dilakukan oleh Forrester Consulting atas nama IBM, April 2023. Berdasarkan proyeksi hasil organisasi gabungan yang dimodelkan dari 4 pelanggan IBM yang diwawancarai. Hasil sebenarnya akan bervariasi berdasarkan konfigurasi dan kondisi klien, oleh karena itu, hasil yang diharapkan secara umum tidak dapat diberikan.