Ringkasan Insiden
Sebuah perusahaan manufaktur menjadi korban serangan ransomware Akira pada pagi hari. Para penyerang masuk melalui akun “hantu”—akun yang dibuat untuk vendor pihak ketiga dan tidak dinonaktifkan setelah vendor tersebut meninggalkan perusahaan. Pada pukul 1:17 pagi, penyerang mencoba bergerak lateral di dalam jaringan dan menonaktifkan keamanan endpoint, tetapi kedua upaya tersebut berhasil diblokir oleh Barracuda Managed XDR. Mereka kemudian mengalihkan fokus serangan mereka ke server yang tidak terlindungi, menaikkan hak akses mereka, dan meluncurkan ransomware pada pukul 2:54 pagi. Pada pukul 2:59 pagi, semua perangkat yang terdampak dan terlindungi oleh XDR telah dinetralisir. Tim SOC bekerja sama dengan perusahaan untuk menyelidiki dan mendukung pemulihan. SOC adalah bagian dari Barracuda Managed XDR, yang menyediakan deteksi ancaman, analisis, dan mitigasi yang dipimpin oleh AI 24/7.
Bagaimana Serangan Terjadi
Area yang Terbuka dalam Infrastruktur IT Target
Beberapa kerentanannya ada pada infrastruktur IT dan kebijakan keamanan perusahaan yang memungkinkan serangan ini terjadi, antara lain:
- Perangkat yang tidak terlindungi di jaringan.
- Saluran VPN yang terbuka di firewall.
- Tidak adanya penerapan multi-factor authentication (MFA) secara menyeluruh di seluruh perusahaan.
- Adanya akun pihak ketiga yang tidak dinonaktifkan setelah vendor tersebut pergi.
Penyerang mendapatkan akses dengan memperoleh kredensial akun “hantu” dan memanfaatkan saluran VPN yang terbuka untuk menembus jaringan. Penting untuk dicatat bahwa penerapan XDR Network Security bisa mendeteksi aktivitas VPN yang mencurigakan lebih awal dan memblokir serangan tersebut.
Serangan Utama
Pada pukul 1:17 pagi, XDR Endpoint Security mendeteksi penyerang yang mencoba bergerak lateral di jaringan dengan menggunakan malware dan teknik pass-the-hash, yang berhasil diblokir. Pergerakan lateral yang mencurigakan adalah indikator utama dari serangan ransomware, dan pada tahun 2024, 44% dari insiden ransomware teridentifikasi pada fase ini.
Penyerang kemudian melakukan dua upaya untuk mengatasi perlindungan endpoint:
- Pada pukul 1:37 pagi, mereka menjalankan Advanced IP Scanner untuk mengidentifikasi perangkat di jaringan.
- Pada pukul 1:41 pagi, mereka mencoba menonaktifkan XDR Endpoint Security, namun upaya ini gagal berkat kemampuan anti-tampering XDR.
Penyerang kemudian menggunakan WinRAR untuk mengompres file sebagai persiapan untuk exfiltrasi data dan mengalihkan fokus serangan mereka ke server yang tidak terlindungi. Mereka berhasil menaikkan hak akses mereka pada server tersebut dan meluncurkan serangan dari sana. Jika server tersebut terlindungi oleh XDR, aktivitas mencurigakan ini pasti akan terdeteksi.
Pada pukul 2:54 pagi, penyerang meluncurkan ransomware Akira dari server yang tidak terlindungi dan mencoba mengenkripsi perangkat lain yang dapat mereka jangkau melalui jaringan. Enkripsi jarak jauh adalah taktik umum yang digunakan penyerang untuk menghindari kontrol keamanan yang bisa teraktivasi jika mereka mencoba menjalankan ransomware pada setiap host secara individual. Namun, begitu proses enkripsi jarak jauh dimulai, aturan STAR kustom XDR Endpoint Security mendeteksi aktivitas jahat tersebut dan mulai mengisolasi endpoint yang menjadi target dari jaringan. Dalam empat menit, pada pukul 2:59 pagi, semua endpoint yang terdampak dan terlindungi oleh XDR telah diputuskan dari jaringan. Tim SOC XDR kemudian mengeluarkan peringatan keamanan dengan tingkat risiko tinggi dan menghubungi perusahaan untuk memberi tahu mereka tentang insiden ini.
Pemulihan dan Pemulihan
Setelah insiden dinetralisir, insinyur keamanan endpoint SOC bekerja sama dengan perusahaan untuk menyelidiki insiden dan mendukung proses pemulihan. Mereka menggunakan XDR Endpoint Security untuk menjalankan perintah rollback pada endpoint yang terdampak dan mengembalikannya ke snapshot terakhir sebelum insiden terjadi. Investigasi pasca-insiden mengungkapkan adanya saluran VPN yang terbuka dan kurangnya penerapan MFA sebagai kelemahan utama.
Pelajaran yang Dipetik
Serangan ini menunjukkan bagaimana serangan siber semakin menjadi multi-langkah dan multi-level, dengan penyerang yang siap beradaptasi dan mengeksploitasi setiap area yang tidak terlindungi. Untuk melindungi dari ancaman seperti ini, organisasi memerlukan pertahanan yang komprehensif dan berlapis dengan visibilitas yang terintegrasi. Pelajaran utama yang bisa dipetik antara lain:
- Selalu terapkan MFA, terutama pada akun VPN yang dapat diakses dari luar.
- Terapkan kebijakan kata sandi yang mengharuskan rotasi kredensial secara teratur.
- Audit akun pengguna aktif secara rutin dan nonaktifkan akun yang tidak lagi digunakan.
Dalam studi kasus ini, kurangnya perlindungan keamanan membantu penyerang untuk mengakses jaringan dan tetap tidak terdeteksi hingga mereka memutuskan untuk bergerak lateral. Begitu mereka menargetkan endpoint yang terlindungi oleh XDR, setiap upaya untuk melanjutkan serangan segera dimitigasi dan diperbaiki dalam waktu singkat.
Manfaat XDR
XDR dapat meningkatkan keamanan dengan cara:
- Secara proaktif mengidentifikasi perangkat yang tidak terlindungi di jaringan, memberikan peringatan pada organisasi mengenai potensi kerentanannya.
- Mendeteksi aktivitas mencurigakan, seperti eksploitasi VPN, lebih awal dalam siklus serangan.
- Memperluas perlindungan XDR untuk mencakup server, di mana aktivitas dan kenaikan hak akses yang tidak biasa bisa terdeteksi.
Dengan mengintegrasikan intelijen ancaman, Respons Ancaman Otomatis, dan solusi seperti XDR Server Security, XDR Network Security, dan XDR Cloud Security, Barracuda Managed XDR menawarkan pendekatan keamanan yang komprehensif yang mengurangi waktu huni dan meminimalkan dampak serangan.
Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda?
Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.