Serangan Ransomware Manfaatkan Kerentanan Hybrid Cloud

pibitek.biz -Microsoft, perusahaan teknologi raksasa, memberikan peringatan serius mengenai pergeseran strategi serangan ransomware yang dilakukan oleh kelompok Storm-0501. Kelompok ransomware ini, yang dikenal dengan aksi kriminalnya yang merugikan dan seringkali menargetkan organisasi-organisasi yang rentan, seperti sekolah, rumah sakit, dan lembaga penegak hukum di Amerika Serikat, telah beralih dari pembelian akses awal dari broker ke pemanfaatan kredensial lemah untuk menembus lingkungan on-premises sebelum bergerak secara lateral ke cloud. Storm-0501, yang telah beroperasi sejak tahun 2021, diketahui berafiliasi dengan berbagai ransomware-as-a-service (RaaS) termasuk BlackCat/ALPHV, LockBit, dan Embargo.

Para peneliti keamanan dari Microsoft Threat Intelligence telah mencatat perubahan yang signifikan dalam pendekatan kelompok ransomware ini. Pada awalnya, Storm-0501 mengandalkan pembelian akses awal dari broker untuk melancarkan serangan. Namun, belakangan ini, mereka menemukan keberhasilan dalam mengeksploitasi kerentanan pada lingkungan hybrid cloud yang menggunakan kata sandi lemah dan akun dengan hak akses berlebihan. Metode yang mereka gunakan adalah dengan terlebih dahulu menembus lingkungan on-premises dari target yang telah mereka tentukan, dan kemudian secara strategis bergerak ke cloud.

Salah satu contoh serangan yang berhasil dilakukan oleh Storm-0501 melibatkan kompromi terhadap kredensial Microsoft Entra ID. Aplikasi on-premises Microsoft ini bertanggung jawab untuk mensinkronisasi kata sandi dan data sensitif lainnya antara objek di Active Directory dan Microsoft Entra ID. Hal ini memungkinkan pengguna untuk masuk ke lingkungan on-premises dan cloud menggunakan kredensial yang sama. Melalui serangan ini, Storm-0501 berhasil mengakses Microsoft Entra ID dan kemudian memanfaatkannya untuk masuk ke cloud.

Akses ini memungkinkan mereka untuk memanipulasi dan mencuri data, memasang backdoor untuk akses yang berkelanjutan, dan menyebarkan ransomware. Laporan Microsoft mengumumkan bahwa Storm-0501 berhasil menemukan server sinkronisasi Microsoft Entra Connect dan mencuri kredensial plain text dari akun sinkronisasi Microsoft Entra Connect cloud dan on-premises. Setelah memperoleh akses ke akun sinkronisasi direktori cloud, para penyerang mampu melakukan autentikasi menggunakan kredensial plain text tersebut dan mendapatkan token akses ke Microsoft Graph.

Dengan akses ini, mereka bebas mengubah kata sandi Microsoft Entra ID untuk setiap akun hibrida yang telah disinkronkan. Strategi kedua yang digunakan oleh para penyerang ini lebih kompleks dan melibatkan pelanggaran akun administrator domain dengan Microsoft Entra ID yang terkait dengannya. Akun ini diberi izin administrator global, dan multifaktor autentikasi (MFA) dinonaktifkan untuk memungkinkan para penyerang mendapatkan akses. Penting untuk dicatat bahwa layanan sinkronisasi tidak tersedia untuk akun administratif di Microsoft Entra.

Oleh karena itu, kata sandi dan data lainnya tidak disinkronkan dari akun on-premises ke akun Microsoft Entra dalam hal ini. Namun, jika kata sandi untuk kedua akun tersebut sama, atau dapat diperoleh melalui teknik pencurian kredensial on-premises, seperti penyimpanan kata sandi di browser web, maka para penyerang dapat melakukan pivoting ke akun Microsoft Entra. Setelah mendapatkan akses, Storm-0501 menginstal backdoor untuk akses berkelanjutan, berusaha untuk mengendalikan jaringan, dan memastikan pergerakan lateral ke cloud.

Selanjutnya, mereka mencuri file yang mereka inginkan dan menyebarkan ransomware Embargo ke seluruh organisasi. Dalam serangan yang diamati oleh Microsoft, para penyerang memanfaatkan akun administrator domain yang telah dikompromi untuk menyebarkan ransomware Embargo melalui tugas terjadwal bernama "SysUpdate" yang telah terdaftar melalui GPO pada perangkat di jaringan. Dua strategi serangan terhadap aplikasi Microsoft Entra ID ini menunjukkan bahwa para penyerang telah memfokuskan serangan mereka pada lingkungan hybrid cloud, yang merupakan target mudah karena memiliki permukaan serangan yang besar.

Penting bagi tim keamanan perusahaan untuk memahami bahwa lingkungan hybrid cloud semakin umum dan menjadi tantangan yang semakin besar dalam menjaga keamanan aset di berbagai platform. Untuk menghadapi tantangan ini, Microsoft menganjurkan tim keamanan perusahaan untuk menerapkan kerangka kerja zero-trust. Model ini membatasi akses berdasarkan verifikasi terus-menerus, memastikan bahwa pengguna hanya memiliki akses ke sumber daya yang diperlukan untuk peran spesifik mereka, sehingga meminimalkan paparan terhadap serangan jahat.

Kredensial lemah tetap menjadi salah satu titik masuk yang paling rentan dalam lingkungan hybrid cloud, dan kelompok seperti Storm-0501 akan terus mengeksploitasi kelemahan ini. Menyatukan pengelolaan perangkat titik akhir (EDM) juga penting. Dengan memastikan penambalan keamanan yang konsisten di semua lingkungan, baik berbasis cloud maupun on-premises, para penyerang dapat dicegah dari memanfaatkan kerentanan yang diketahui. Pemantauan tingkat lanjut akan membantu tim mengidentifikasi potensi ancaman di seluruh lingkungan hybrid cloud sebelum menjadi pelanggaran keamanan yang serius.

Perusahaan teknologi lain seperti SlashNext Security juga menekankan pentingnya mengadopsi pendekatan keamanan yang komprehensif untuk menghadapi ancaman ransomware. Mereka menganjurkan penguatan manajemen identitas dan akses, penerapan prinsip hak akses minimum, dan memastikan penambalan tepat waktu untuk sistem yang menghadap internet. Selain itu, SlashNext Security menyarankan untuk memperkuat keamanan guna melindungi dari upaya akses awal. Penerapan solusi keamanan email dan pesan tingkat lanjut dapat membantu mencegah upaya akses awal melalui phishing atau taktik rekayasa sosial, yang sering kali menjadi titik masuk bagi serangan canggih.

Serangan yang dilakukan oleh Storm-0501 merupakan bukti bahwa serangan ransomware telah berevolusi dan menjadi semakin canggih. Mereka mengeksploitasi kerentanan dalam infrastruktur hybrid cloud, yang merupakan bukti bahwa bahkan organisasi yang memiliki keamanan yang kuat dapat menjadi korban. Penting untuk dicatat bahwa kelompok ransomware ini memiliki motif finansial yang kuat, sehingga mereka akan terus mencari target yang mudah dieksploitasi. Para penyerang ini terus menerus mencari cara baru untuk melewati pertahanan keamanan.

Oleh karena itu, penting bagi organisasi untuk selalu meningkatkan kesadaran tentang ancaman terbaru dan mengadopsi strategi keamanan yang komprehensif untuk melindungi aset mereka dari serangan ransomware. Kegagalan dalam melakukan hal ini dapat mengakibatkan kerugian finansial yang besar, kerusakan reputasi, dan gangguan operasional yang signifikan. Organisasi harus mengambil langkah proaktif untuk mengidentifikasi dan mengatasi kerentanan yang dapat dieksploitasi oleh para penyerang ransomware.

Hal ini melibatkan penerapan kebijakan kata sandi yang kuat, penggunaan autentikasi multifaktor, dan pembatasan akses ke sumber daya kritis. Selain itu, organisasi harus menginvestasikan dalam solusi keamanan yang canggih untuk mendeteksi dan mencegah serangan ransomware. Solusi ini harus mencakup perlindungan tingkat lanjut terhadap ancaman, respons insiden, dan pemulihan bencana. Penting untuk mengingat bahwa keamanan siber adalah perjalanan, bukan tujuan. Organisasi harus selalu beradaptasi dengan ancaman yang terus berkembang dan berinvestasi dalam solusi dan praktik terbaik yang menjaga aset mereka tetap aman.

Serangan Storm-0501 menunjukkan betapa pentingnya langkah-langkah keamanan yang komprehensif dalam melindungi lingkungan hybrid cloud. Dengan menerapkan strategi yang melampaui pendekatan tradisional, organisasi dapat mengurangi risiko serangan ransomware yang merusak. Hal ini memerlukan upaya yang berkelanjutan dari tim keamanan dan kepemimpinan organisasi untuk memastikan bahwa sistem dan data terlindungi. Serangan Storm-0501 merupakan pengingat yang menyedihkan tentang ancaman yang dihadapi oleh organisasi saat ini.

Mereka tidak hanya menargetkan organisasi yang kecil dan tidak memiliki sumber daya, tetapi juga organisasi besar yang seharusnya memiliki keamanan yang lebih kuat. Keamanan siber, terutama dalam lingkungan hybrid cloud, bukan hanya tanggung jawab tim keamanan. Ini adalah tanggung jawab semua orang di dalam organisasi. Setiap orang harus menyadari risiko dan mengambil tindakan untuk melindungi diri mereka sendiri dan organisasi mereka. Organisasi harus berinvestasi dalam pelatihan keamanan untuk meningkatkan kesadaran dan membantu karyawan memahami peran mereka dalam melindungi aset organisasi.

Mereka harus mempromosikan budaya keamanan yang menekankan pada pentingnya keamanan siber. Serangan ini juga menunjukkan betapa pentingnya kolaborasi. Organisasi harus berbagi informasi dan bekerja sama untuk mengatasi ancaman yang berkembang. Dalam menghadapi serangan ransomware yang semakin canggih, organisasi harus bekerja sama dengan perusahaan keamanan dan penegak hukum untuk mengembangkan solusi yang efektif. Langkah-langkah ini akan membantu untuk membangun pertahanan yang lebih kuat terhadap serangan ransomware dan melindungi organisasi dari kerusakan yang dapat terjadi.

Para penyerang ransomware merupakan ancaman yang serius bagi semua orang. Mereka berusaha untuk mengeksploitasi kelemahan untuk mendapatkan keuntungan finansial. Meskipun teknologi dapat membantu dalam melindungi dari serangan ransomware, hal itu tidak cukup. Perusahaan teknologi juga memiliki peran penting dalam menjaga keamanan siber. Mereka harus mengembangkan produk dan layanan yang dirancang untuk meningkatkan keamanan dan membantu organisasi dalam melindungi aset mereka. Mereka harus bekerja sama dengan pemerintah dan organisasi lain untuk membuat standar keamanan yang lebih kuat dan meningkatkan kesadaran tentang ancaman ransomware. Dalam menghadapi serangan ransomware yang terus berkembang, semua orang harus bekerja sama untuk membangun dunia yang lebih aman.