Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft: Windows Diserang oleh Aktor Ancaman China

by

Raksasa teknologi Microsoft telah memperingatkan pengguna tentang kampanye malware dan ancaman dunia maya terbaru dan memberi tahu mereka bahwa kelompok aktor ancaman yang disponsori negara yang berbasis di China: Hafnium.

Menurut Windows Central, kali ini, peringatan itu ditujukan untuk Tarrask, “malware penghindaran pertahanan” yang menggunakan Windows Task Scheduler untuk menyembunyikan status perangkat yang disusupi dari dirinya sendiri.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata perusahaan itu dalam sebuah posting blog.

Serangan itu berasal dari Hafnium, kelompok yang disponsori negara, berbasis di China yang mungkin diingat oleh pengguna sebagai masalah besar karena keterlibatannya dalam krisis Microsoft Exchange pada tahun 2021.

Data yang dikumpulkan selama cobaan itu telah berspekulasi menjadi bahan bakar untuk inovasi AI oleh pemerintah China, kata laporan itu.

Perusahaan mengatakan sedang melacak Hafnium menggunakan malware Tarrask untuk memastikan bahwa PC yang disusupi tetap rentan, menggunakan bug Penjadwal Tugas Windows untuk membersihkan jejak dan memastikan bahwa artefak pada disk dari aktivitas Tarrask tidak bertahan untuk mengungkapkan apa yang terjadi.

Raksasa teknologi ini juga mendemonstrasikan bagaimana pelaku ancaman membuat tugas terjadwal, bagaimana mereka menutupi jejak mereka, bagaimana teknik penghindaran malware digunakan untuk mempertahankan dan memastikan kegigihan pada sistem dan bagaimana melindungi dari taktik ini.

Sumber: Business Standard

Peretas Korea Utara menyerang target UE dengan malware Konni RAT

by

Analis ancaman telah menemukan kampanye baru yang dikaitkan dengan APT37, kelompok peretas Korea Utara, yang menargetkan organisasi bernilai tinggi di Republik Ceko, Polandia, dan negara-negara Eropa lainnya.

Dalam kampanye ini, peretas menggunakan malware yang dikenal sebagai Konni, trojan akses jarak jauh (RAT) yang mampu membangun kegigihan dan melakukan eskalasi hak istimewa pada host.

Konni telah dikaitkan dengan serangan siber Korea Utara sejak 2014, dan baru-baru ini, terlihat dalam kampanye spear-phishing yang menargetkan Kementerian Luar Negeri Rusia.

Kampanye terbaru dan masih berlangsung diamati dan dianalisis oleh para peneliti di Securonix, yang menyebutnya STIFF#BIZON, dan menyerupai taktik dan metode yang sesuai dengan kecanggihan operasional APT (ancaman persisten lanjutan).

Serangan dimulai dengan datangnya email phishing dengan lampiran arsip yang berisi dokumen Word (missile.docx) dan file Windows Shortcut (_weapons.doc.lnk.lnk).

Ketika file LNK dibuka, kode berjalan untuk menemukan skrip PowerShell yang disandikan base64 dalam file DOCX untuk membangun komunikasi C2 dan mengunduh dua file tambahan, ‘weapons.doc’ dan ‘wp.vbs’.

Properti file pintasan berbahaya

Dokumen yang diunduh adalah umpan, konon laporan dari Olga Bozheva, seorang koresponden perang Rusia. Pada saat yang sama, file VBS berjalan tanpa suara di latar belakang untuk membuat tugas terjadwal di host.

PowerShell yang disandikan Base64 menambahkan tugas terjadwal (Securonix)

Pada fase serangan ini, aktor telah memuat RAT dan membuat tautan pertukaran data, dan mampu melakukan tindakan berikut:

  • Screenshot menggunakan Win32 GDI API dan ekstrak dalam bentuk GZIP.
  • Ekstrak kunci status yang disimpan dalam file Status Lokal untuk dekripsi basis data cookie, berguna dalam melewati MFA.
  • Ekstrak kredensial yang disimpan dari browser web korban.
  • Luncurkan shell interaktif jarak jauh yang dapat menjalankan perintah setiap 10 detik.

Pada tahap keempat serangan, seperti yang ditunjukkan pada diagram di bawah, peretas mengunduh file tambahan yang mendukung fungsi sampel Konni yang dimodifikasi, mengambilnya sebagai arsip “.cab” terkompresi.

Diagram rantai infeksi (Securonix)

Ini termasuk DLL yang menggantikan perpustakaan layanan Windows yang sah seperti “wpcsvc” di System32, yang dimanfaatkan untuk menjalankan perintah di OS dengan hak pengguna yang lebih tinggi.

Sementara taktik dan toolset menunjuk ke APT37, Securonix menggarisbawahi kemungkinan APT28 (alias FancyBear) berada di balik kampanye STIFF#BIZON.

Kelompok ancaman yang disponsori negara sering mencoba untuk meniru TTP dari APT terampil lainnya untuk mengaburkan jejak mereka dan menyesatkan analis ancaman, sehingga kemungkinan kesalahan atribusi, dalam hal ini, adalah signifikan.

Sumber: Bleeping Computer

Windows Server 20H2 mencapai EOS bulan depan

by

Microsoft telah mengingatkan pelanggan sekali lagi bahwa Windows Server, versi 20H2, akan mencapai End of Service (EOS) dalam waktu kurang dari sebulan, pada 9 Agustus.

Pengingat ini mengikuti dua peringatan lain sejak Mei 2022 bahwa versi Windows Server ini akan mencapai tanggal akhir dukungan mainstream untuk pengguna Standard Core dan Datacenter Core.

Dirilis kurang dari dua tahun yang lalu, pada 20 Oktober 2020, versi Saluran Semi-Tahunan Windows Server ini tidak akan menerima pembaruan keamanan atau non-keamanan lainnya setelah mencapai tanggal EOS.

Redmond juga mengungkapkan dalam pemberitahuan Mei bahwa Windows Server Semi-Annual Channel (SAC) juga akan dihentikan pada 9 Agustus 2022.

Pelanggan yang masih menjalankan rilis SAC disarankan untuk beralih ke Saluran Layanan Jangka Panjang (LTSC) sesegera mungkin karena LTSC akan menjadi saluran rilis Windows Server utama.

  • Versi Windows Server baru setiap 2-3 tahun
  • Versi Windows Server LTSC akan dirilis setiap dua hingga tiga tahun, dengan pelanggan berhak atas 5 tahun dukungan utama dengan tambahan lima tahun dukungan diperpanjang.

Penting juga untuk dicatat bahwa, menurut Microsoft, instalasi bersih akan diperlukan untuk meningkatkan atau beralih ke saluran LTSC.

Dengan ditutupnya SAC bulan depan, sebagian besar fitur yang diperkenalkan di saluran servis ini telah diluncurkan ke Windows Server 2022, rilis LTSC terbaru dari Windows Server yang akan mencapai tanggal akhir dukungan yang diperpanjang pada Oktober 2031.

Microsoft menyarankan pelanggan untuk pindah ke Azure Stack HCI untuk irama rilis yang sama atau beralih ke Windows Server 2019/2022 di saluran servis LTSC.

Saat beralih ke versi Windows Server baru, Anda dapat mengikuti panduan ini atau menggunakan dokumen dukungan ini untuk memperbaiki atau memecahkan masalah kesalahan yang ditemui selama proses pembaruan.

Sumber: Bleeping Computer

QBot phishing menggunakan sideloading Kalkulator Windows untuk menginfeksi perangkat

by

Operator malware QBot telah menggunakan Kalkulator Windows untuk memuat muatan berbahaya di komputer yang terinfeksi.

Pemuatan samping DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) ditangani di Windows. Ini terdiri dari memalsukan DLL yang sah dan menempatkannya di folder tempat sistem operasi memuatnya, bukan yang sah.

QBot, juga dikenal sebagai Qakbot adalah jenis malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi penetes malware, dan digunakan oleh geng ransomware pada tahap awal serangan untuk menjatuhkan suar Cobalt Strike.

Peneliti keamanan ProxyLife baru-baru ini menemukan bahwa Qakbot, telah menyalahgunakan aplikasi Kalkulator Windows 7 untuk serangan pemuatan samping DLL setidaknya sejak 11 Juli. Metode ini terus digunakan dalam kampanye malspam.

Untuk membantu pembela melindungi dari ancaman ini, ProxyLife dan peneliti di Cyble mendokumentasikan rantai infeksi QBot terbaru.

Email yang digunakan dalam kampanye terbaru membawa lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Kata sandi untuk membuka file ZIP ditampilkan dalam file HTML, dan alasan mengunci arsip adalah untuk menghindari deteksi antivirus.

Lampiran HTML pada email spam QBot

ISO berisi file .LNK, salinan ‘calc.exe’ (Kalkulator Windows), dan dua file DLL, yaitu WindowsCodecs.dll dan muatan bernama 7533.dll.

isi arsip ZIP

Saat pengguna memasang file ISO, itu hanya menampilkan file .LNK, yang disamarkan agar terlihat seperti PDF yang menyimpan informasi penting atau file yang dibuka dengan browser Microsoft Edge.

Namun, pintasan mengarah ke aplikasi Kalkulator di Windows, seperti yang terlihat di dialog properti untuk file.

Properti file PDF yang memicu infeksi

Mengklik pintasan memicu infeksi dengan menjalankan Calc.exe melalui Command Prompt.

Saat dimuat, Kalkulator Windows 7 secara otomatis mencari dan mencoba memuat file DLL WindowsCodecs yang sah. Namun, itu tidak memeriksa DLL di jalur kode keras tertentu, dan akan memuat DLL apa pun dengan nama yang sama jika ditempatkan di folder yang sama dengan yang dapat dieksekusi Calc.exe.

Pelaku ancaman memanfaatkan kelemahan ini dengan membuat file WindowsCodecs.dll berbahaya mereka sendiri yang meluncurkan file .dll [bernomor] lainnya, yang merupakan malware QBot.

Dengan menginstal QBot melalui program tepercaya seperti Kalkulator Windows, beberapa perangkat lunak keamanan mungkin tidak mendeteksi malware saat dimuat, sehingga pelaku ancaman dapat menghindari deteksi.

Perlu dicatat, bahwa kelemahan sideloading DLL ini tidak lagi berfungsi di Windows 10 Calc.exe dan yang lebih baru, itulah sebabnya pelaku ancaman menggabungkan versi Windows 7.

QBot telah ada selama lebih dari satu dekade, dengan asal-usul sejak 2009 [1, 2, 3, 4]. Meskipun kampanye yang mengirimkannya tidak sering, itu diamati didistribusikan oleh botnet Emotet di masa lalu untuk menjatuhkan muatan ransomware.

Sumber: Bleeping Computer

Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

by

Versi baru malware Amadey Bot didistribusikan melalui malware SmokeLoader, menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Amadey Bot adalah jenis malware yang ditemukan empat tahun lalu, mampu melakukan pengintaian sistem, mencuri informasi, dan memuat muatan tambahan.

Sementara distribusinya telah memudar setelah tahun 2020, peneliti Korea di AhnLab melaporkan bahwa versi baru telah memasuki sirkulasi dan didukung oleh malware SmokeLoader yang sama tua tetapi masih sangat aktif.

Ini adalah penyimpangan dari ketergantungan Amadey pada Fallout, dan kit exploit Rig, yang umumnya tidak populer karena menargetkan kerentanan yang sudah ketinggalan zaman.

SmokeLoader diunduh dan dieksekusi secara sukarela oleh para korban, menyamar sebagai crack perangkat lunak atau keygen. Karena crack dan key generator biasanya memicu peringatan antivirus, biasanya pengguna menonaktifkan program antivirus sebelum menjalankan program, menjadikannya metode yang ideal untuk mendistribusikan malware.

Setelah dieksekusi, ia menyuntikkan “Bot Utama” ke dalam proses (explorer.exe) yang sedang berjalan, sehingga OS mempercayainya dan mengunduh Amadey di sistem.

Setelah Amadey diambil dan dieksekusi, ia menyalin dirinya sendiri ke folder TEMP dengan nama ‘bguuwe.exe’ dan membuat tugas terjadwal untuk mempertahankan kegigihan menggunakan perintah cmd.exe.

Detail instalasi Amadey (ASEC)

Selanjutnya, Amadey membuat komunikasi C2 dan mengirimkan profil sistem ke server pelaku ancaman, termasuk versi OS, tipe arsitektur, daftar alat antivirus yang diinstal, dll.

Dalam versi terbarunya, nomor 3.21, Amadey dapat menemukan 14 produk antivirus dan, mungkin berdasarkan hasil, mengambil muatan yang dapat menghindari yang sedang digunakan.

Server merespons dengan instruksi untuk mengunduh plugin tambahan dalam bentuk DLL, serta salinan pencuri info tambahan, terutama RedLine (‘yuri.exe’).

Payload diambil dan diinstal dengan melewati UAC dan eskalasi hak istimewa. Amadey menggunakan program bernama ‘FXSUNATD.exe’ untuk tujuan ini dan melakukan elevasi ke admin melalui pembajakan DLL.

Selain itu, pengecualian yang sesuai pada Windows Defender ditambahkan menggunakan PowerShell sebelum mengunduh muatan.

Pengecualian PowerShell dan auto-elevate (ASEC)

Selain itu, Amadey menangkap tangkapan layar secara berkala dan menyimpannya di jalur TEMP untuk dikirim ke C2 dengan permintaan POST berikutnya.

POST permintaan tangkapan layar eksfiltrasi (ASEC)

Salah satu plugin DLL yang diunduh, ‘cred.dll,’ yang dijalankan melalui ‘rundll32.exe,’ mencoba mencuri informasi dari perangkat lunak berikut:

Program Manajemen Router Mikrotik Winbox
Pandangan
FileZilla
Pijin
Total Commander FTP Client
RealVNC, TightVNC, TigerVNC
WinSCP

Tentu saja, jika RedLine dimuat ke host, cakupan penargetan diperluas secara dramatis, dan korban berisiko kehilangan kredensial akun, komunikasi, file, dan aset cryptocurrency.

Untuk menghindari bahaya Amadey Bot dan RedLine, hindari mengunduh file yang retak, aktivator produk perangkat lunak, atau pembuat kunci tidak sah yang menjanjikan akses gratis ke produk premium.

Sumber: Bleeping Computer

AS Mengajukan Tuntutan Pidana Pertamanya atas Perdagangan Orang dalam Cryptocurrency

by

Otoritas Amerika terus menindak perdagangan orang dalam aset digital. The New York Times melaporkan bahwa jaksa federal di New York City telah mendakwa tiga orang dengan penipuan yang berkaitan dengan skema perdagangan orang dalam untuk cryptocurrency, termasuk mantan karyawan pertukaran Coinbase Ishan Wahi. Ini adalah pertama kalinya para pejabat mengajukan tuntutan terkait dengan perdagangan orang dalam mata uang digital, menurut pengacara Distrik Selatan New York Damian Williams.

Seperti kasus perdata pendamping dari Komisi Sekuritas dan Bursa, jaksa menuduh Wahi berbagi informasi rahasia tentang pencatatan aset masa depan dengan saudaranya Nikhil Wahi dan teman saudaranya Sammer Ramani. Data yang dibagikan antara “setidaknya” Juni 2021 dan April 2022, membantu Nikhil dan temannya membeli aset sebelum listing tersebut meningkatkan nilainya. Keduanya kemudian akan menjual aset mereka untuk mendapatkan keuntungan. Pembelian 25 aset atau lebih menghasilkan laba lebih dari $ 1,1 juta, menurut SEC.

Coinbase memulai penyelidikan internal pada bulan April sebagai tanggapan atas posting Twitter tentang aktivitas perdagangan yang tidak biasa. Ishan Wahi memesan penerbangan ke India tepat sebelum Coinbase akan mewawancarainya, tetapi dia dan saudaranya ditangkap di Seattle pagi ini. Ramani masih buron dan diyakini berada di India, kata SEC.

Pengacara Wahi mempertahankan ketidakbersalahan klien mereka, dan mengatakan dia akan “keras” membela diri terhadap tuduhan tersebut. Ramani dan pengacara saudara laki-laki Wahi belum mengomentari tuduhan itu. Coinbase mengatakan telah menyerahkan informasi ke Departemen Kehakiman dan telah memecat Wahi sebagai bagian dari kebijakan “tanpa toleransi” untuk perilaku ini.

Sumber: Engadget

0-hari yang Digunakan untuk Menginfeksi Pengguna Chrome Juga Dapat Menimbulkan Ancaman bagi Pengguna Edge dan Safari

by

Penjual rahasia perangkat lunak serangan siber baru-baru ini mengeksploitasi kerentanan Chrome yang sebelumnya tidak diketahui dan dua zero-days lainnya dalam kampanye yang secara diam-diam menginfeksi jurnalis dan target lainnya dengan spyware canggih, kata peneliti keamanan.

CVE-2022-2294, karena kerentanan dilacak, berasal dari kelemahan korupsi memori di Web Real-Time Communications, sebuah proyek sumber terbuka yang menyediakan antarmuka pemrograman JavaScript untuk mengaktifkan kemampuan komunikasi suara, teks, dan video real-time antara browser web dan perangkat. Google menambal cacat pada 4 Juli setelah peneliti dari perusahaan keamanan Avast secara pribadi memberi tahu perusahaan bahwa itu sedang dieksploitasi dalam serangan lubang air, yang menginfeksi situs web yang ditargetkan dengan malware dengan harapan kemudian menginfeksi pengguna yang sering. Microsoft dan Apple masing-masing telah menambal kelemahan WebRTC yang sama di browser Edge dan Safari mereka.

Avast mengatakan pada hari Kamis bahwa mereka menemukan beberapa kampanye serangan, masing-masing memberikan eksploitasi dengan caranya sendiri ke pengguna Chrome di Lebanon, Turki, Yaman, dan Palestina. Situs sangat selektif dalam memilih pengunjung mana yang akan dijangkiti. Setelah situs berhasil mengeksploitasi kerentanan, mereka menggunakan akses mereka untuk menginstal DevilsTongue, nama yang diberikan Microsoft tahun lalu untuk malware canggih yang dijual oleh perusahaan yang berbasis di Israel bernama Candiru.

“Di Lebanon, para penyerang tampaknya telah menyusup ke situs web yang digunakan oleh karyawan kantor berita,” tulis peneliti Avast, Jan Vojtěšek. “Kami tidak dapat mengatakan dengan pasti apa yang mungkin dikejar para penyerang, namun seringkali alasan mengapa penyerang mengejar jurnalis adalah untuk memata-matai mereka dan cerita yang mereka kerjakan secara langsung, atau untuk mendapatkan sumber mereka dan mengumpulkan informasi yang membahayakan. dan data sensitif yang mereka bagikan kepada pers.”

Vojtěšek mengatakan Candiru telah berbohong setelah paparan yang diterbitkan Juli lalu oleh Microsoft dan CitizenLab. Peneliti mengatakan perusahaan itu muncul kembali dari bayang-bayang pada bulan Maret dengan perangkat yang diperbarui. Situs yang tidak diidentifikasi oleh Avast, bersusah payah tidak hanya dalam memilih hanya pengunjung tertentu untuk diinfeksi, tetapi juga dalam mencegah kerentanan zero-day yang berharga ditemukan oleh para peneliti atau calon peretas saingan.

Terlepas dari upaya untuk menjaga kerahasiaan CVE-2022-2294, Avast berhasil memulihkan kode serangan, yang mengeksploitasi heap overflow di WebRTC untuk mengeksekusi shellcode berbahaya di dalam proses renderer. Pemulihan memungkinkan Avast mengidentifikasi kerentanan dan melaporkannya ke pengembang sehingga dapat diperbaiki. Perusahaan keamanan tidak dapat memperoleh eksploitasi zero-day terpisah yang diperlukan sehingga eksploitasi pertama dapat lolos dari kotak pasir keamanan Chrome. Itu berarti hari nol kedua ini akan hidup untuk bertarung di hari lain.

Setelah DevilsTongue terinstal, ia berusaha untuk meningkatkan hak sistemnya dengan menginstal driver Windows yang mengandung kerentanan lain yang belum ditambal, sehingga jumlah zero-days yang dieksploitasi dalam kampanye ini menjadi setidaknya tiga. Setelah driver yang tidak dikenal diinstal, DevilsTongue akan mengeksploitasi kelemahan keamanan untuk mendapatkan akses ke kernel, bagian paling sensitif dari sistem operasi apa pun. Peneliti keamanan menyebut teknik itu BYOVD, kependekan dari “bawa pengemudi rentan Anda sendiri.” Ini memungkinkan malware untuk mengalahkan pertahanan OS karena sebagian besar driver secara otomatis memiliki akses ke kernel OS.

Avast telah melaporkan kekurangan tersebut kepada pembuat driver, tetapi tidak ada indikasi bahwa patch telah dirilis. Pada saat publikasi, hanya Avast dan satu mesin antivirus lainnya yang mendeteksi eksploitasi driver.

Karena Google dan Microsoft menambal CVE-2022-2294 pada awal Juli, kemungkinan besar sebagian besar pengguna Chrome dan Edge sudah terlindungi. Apple, bagaimanapun, memperbaiki kerentanan pada hari Rabu, yang berarti pengguna Safari harus memastikan browser mereka mutakhir.

“Meskipun tidak ada cara bagi kami untuk mengetahui dengan pasti apakah kerentanan WebRTC juga dieksploitasi oleh kelompok lain, itu adalah kemungkinan,” tulis Vojtěšek. “Terkadang zero-days ditemukan secara independen oleh banyak grup, terkadang seseorang menjual kerentanan/eksploitasi yang sama ke beberapa grup, dll. Tetapi kami tidak memiliki indikasi bahwa ada grup lain yang mengeksploitasi zero-day yang sama ini.”

Sunber: Ars Technica

Pasar Penuh: Tawar-menawar di Web Gelap Memberikan Awal yang Cepat bagi Penjahat Siber Pemula

by

Calon penjahat dunia maya dapat dengan mudah membeli alat canggih, eksploitasi umum, dan kredensial curian di pasar bawah tanah dengan harga beberapa dolar — hambatan masuk yang rendah bagi pemula, menurut sebuah studi terhadap 33.000 pasar Dark Web.

Menurut analisis baru dari HP Wolf Security dan peneliti di Forensic Pathways, ada banyak penawaran yang bisa didapat. Dari 174 eksploit yang ditemukan diiklankan di Dark Web, 91% harganya kurang dari $10, sementara 76% dari lebih dari 1.650 iklan untuk malware memiliki harga yang sama.

Aset penyerang umum lainnya juga memiliki harga yang sama rendahnya: Biaya rata-rata, misalnya, untuk kredensial yang dicuri untuk mengakses instans Remote Desktop Protocol (RDP) hanya $5.

Sementara kelompok malware yang lebih maju menggunakan forum pribadi untuk memperdagangkan eksploitasi zero-day, kredensial, eksploitasi, dan alat yang tersedia yang ditawarkan dalam ekonomi bawah tanah yang lebih luas memungkinkan pemula untuk dengan cepat membuat kumpulan alat yang kredibel, kata Alex Holland, analis malware senior di HP dan primer. penulis laporan.

Penjahat dunia maya pemula “dapat menggunakan alat sumber terbuka yang tersedia secara bebas, dan – selama Anda cukup terampil untuk mengenkripsi, menggunakan pengepak, menggunakan teknik untuk menghindari pertahanan – maka alat itu akan melakukan pekerjaan dengan sangat baik,” katanya.

Studi tentang pasar Web Gelap menganalisis sekitar 33.000 situs, forum, dan pasar aktif selama periode dua bulan, menemukan bahwa pasar untuk alat dan pengetahuan dasar sudah mengakar dengan baik, dan menarik pelanggan baru setiap saat.

Peningkatan jumlah pelaku ancaman bisa berarti bisnis akan menemukan operasi mereka ditargetkan bahkan lebih dari sekarang, menurut Michael Calce, anggota Dewan Penasihat Keamanan HP dan mantan peretas (alias MafiaBoy). HP membawa kriminolog dan mantan peretas untuk membantu menempatkan studi dalam konteks.

“Saat ini, hanya sebagian kecil penjahat dunia maya yang benar-benar membuat kode, sebagian besar hanya untuk uang — dan hambatan untuk masuk sangat rendah sehingga hampir semua orang bisa menjadi aktor ancaman,” kata Calce dalam laporan tersebut. “Itu berita buruk bagi bisnis.”

Untuk melindungi diri mereka dari peningkatan jumlah penyerang siber, HP merekomendasikan agar perusahaan melakukan dasar-dasarnya, menggunakan otomatisasi dan praktik terbaik untuk mengurangi area permukaan serangan mereka. Selain itu, bisnis perlu secara teratur melakukan latihan untuk membantu merencanakan dan menanggapi serangan kasus terburuk, karena penyerang akan semakin berusaha membatasi pilihan eksekutif setelah serangan untuk menjadikan pembayaran tebusan sebagai opsi terburuk terbaik.

“Jika yang terburuk terjadi dan aktor ancaman melanggar pertahanan Anda, maka Anda tidak ingin ini menjadi pertama kalinya Anda memprakarsai rencana respons insiden,” Joanna Burkey, kepala petugas keamanan informasi di HP, mengatakan dalam laporannya. “Memastikan bahwa setiap orang mengetahui peran mereka, dan bahwa orang-orang terbiasa dengan proses yang harus mereka ikuti, akan sangat membantu dalam mengatasi dampak terburuk.”

Sumber: DARKReading