HONG KONG SAR – Media OutReachTrend Micro, pemimpin global dalam solusi keamanan siber, hari ini merilis laporan penelitian tentang Nefilim Ransomware Group, analisis mendalam tentang serangan ransomware modern dan memberikan wawasan, termasuk perkembangan terbaru dalam kelompok ransomware, bagaimana penjahat menghindari deteksi, dan bagaimana perusahaan dapat menggunakan platform deteksi dan respons lanjutan untuk memblokir ancaman tersebut.

Metode kriminal dari keluarga ransomware modern mempersulit Pusat Operasi Keamanan Informasi (SOC) dan tim keamanan informasi yang sudah kelelahan untuk mendeteksi dan merespons ancaman tersebut. Ini tidak hanya mempengaruhi profitabilitas dan niat baik perusahaan, tetapi juga mempengaruhi kesehatan tim pusat operasi keamanan itu sendiri.

“Serangan ransomware modern menggunakan kelompok serangan persisten lanjutan (APT) yang telah ditempa melalui ribuan metode, sehingga mereka sangat ditargetkan, mudah beradaptasi, dan tertutup. Kelompok seperti Nefilim Ini akan memeras beberapa perusahaan global yang menguntungkan dengan mencuri data dan mengunci sistem kunci perusahaan. Laporan terbaru ini wajib dibaca oleh siapa saja di industri yang ingin memahami ekonomi bawah tanah yang berkembang pesat ini dan bagaimana Trend Micro Vision One dapat membantu perusahaan melawan balik,” urai Bob McArdle, direktur riset kejahatan dunia maya Trend Micro, kepada media ini, Rabu (9/6/2021).

Laporan tersebut mempelajari 16 kelompok ransomware dari Maret 2020 hingga Januari 2021. Empat kelompok dengan jumlah korban terbesar yang diketahui adalah Conti, Doppelpaymer, Egregor, dan REvil. Data yang paling banyak dicuri adalah Cl0p Group, dengan total 5TB data yang disimpan secara online.

Nefilim mengkhususkan diri dalam menyerang perusahaan dengan omset lebih dari $1 miliar, dan merupakan kelompok kriminal dengan median keuntungan pemerasan tertinggi.

Laporan tersebut menunjukkan bahwa serangan Nefilim biasanya melibatkan langkah-langkah berikut:

  • Memanfaatkan kelemahan dalam kredensial login untuk menyerang layanan RDP yang terbuka atau layanan HTTP eksternal.
  • Begitu masuk,, mereka menggunakan alat hukum untuk bergerak secara lateral di dalam jaringan, mencari sistem bernilai tinggi, lalu mencuri dan mengenkripsi data.
  • Gunakan Cobalt Strike dan beberapa protokol komunikasi jaringan seperti HTTP, HTTPS, DNS, yang dapat melintasi firewall perusahaan untuk menyiapkan sistem “call home”.
  • Layanan hosting antipeluru digunakan untuk server C&C.
  • Menyebarkan informasi dan mempostingnya ke situs web yang dilindungi TOR untuk memeras korban. Nefilim merilis sekitar 2TB data tahun lalu.
  • Payload Ransomware diluncurkan secara manual setelah data yang cukup telah dieksfiltrasi.

Trend Micro sebelumnya telah memperingatkan meluasnya penggunaan alat yang sah seperti AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec, dan MegaSync, untuk membantu penyerang ransomware mencapai tujuan akhir mereka sambil tetap tanpa diketahui. Ini dapat menyulitkan analis SOC yang berbeda yang melihat log peristiwa dari berbagai bagian lingkungan untuk melihat gambaran yang lebih besar dan menemukan serangan.

Diketahui, Trend Micro Vision One dapat memantau dan menghubungkan perilaku mencurigakan pada beberapa lapisan perlindungan, yang mencakup beban kerja klien, email, server, dan cloud, mencegah peretas bersembunyi di titik buta mana pun. Dengan cara ini, tim keamanan informasi dapat meningkatkan kecepatan respons insiden dan memblokir serangan dengan cepat sebelum berdampak serius pada perusahaan.

Untuk membaca laporan lengkap kunjungi: https://www.trendmicro.com/vinfo/hk/security/news/cybercrime-and-digital-threats/modern-ransomwares-double-extortion-tactics-and-how-to-protect-enterprises-against-them.