Foto: Kaspersky
Ransomware Akira menjadi bahan pembelajaran dan pembahasan yang cukup ramai diperbincangkan di kalangan para profesional keamanan siber. Serangan siber yang dilancarkan dengan mengeksploitasi perangkat IoT ini bekerja dengan cara meretas jaringan kamera CCTV, lalu mengenkripsi komputer perusahaan.
Penjahat siber biasaaya memanfaatkan celah kerentanan dalam aplikasi yang dapat diakses publik, untuk menembus jaringan dan menjalankan perintah pada host yang terinfeksi. Setelah berhasil masuk ke sistem, para penjahat siber ini akan meluncurkan alat akses jarak jauh populer AnyDesk dan memulai sesi RDP dengan server file perusahaan.
Melalui cara ini, penjahat siber dapat mengakses server dan mencoba menjalankan ransomware secara terus menerus, hingga sistem EDR perusahaan jebol. Namun bila cara tersebut tidak berhasil, dipercaya mereka akan menjalankan pemindaian LAN untuk masuk ke jaringan kamera CCTV perusahaan.
Ada beberapa alasan mengapa kamera CCTV menjadi target ideal bagi para penyerang:
- Karena firmware-nya yang sangat ketinggalan zaman, perangkat tersebut rentan terhadap eksploitasi jarak jauh, yang memberi penyerang akses shell dan kemampuan untuk menjalankan perintah.
- Kamera tersebut menjalankan Linux versi ringan yang mampu menjalankan biner standar untuk sistem operasi ini. Secara kebetulan, persenjataan Akira berisi alat enkripsi berbasis Linux.
- Perangkat khusus ini tidak memiliki (dan kemungkinan tidak mampu mendukung) agen EDR atau kontrol keamanan lainnya untuk mendeteksi aktivitas berbahaya.
- Penyerang dapat memasang malware mereka di kamera, dan menggunakan perangkat tersebut sebagai pijakan untuk mengenkripsi server organisasi.
Cara Mencegah Serangan Ransomware Akira melalui CCTV
Terdapat beberapa cara yang bisa dilakukan untuk mencegah serangan Ransomware Akira. Ahli keamanan siber di Kaspersky menjabarkan beberapa tindakan pencegahan yang dapat dilakukan seperti membatasi akses ke perangkat jaringan khusus dan izinnya.
Faktor utama dalam serangan ini adalah akses kamera IP yang terlalu permisif ke server file. Perangkat ini harus berada dalam subnet yang terisolasi. Jika itu tidak memungkinkan, perangkat tersebut harus diberi izin sesedikit mungkin untuk berkomunikasi dengan komputer lain.
Misalnya, akses tulis harus dibatasi ke satu folder di satu server tertentu tempat rekaman video disimpan. Dan akses ke kamera dan folder ini harus dibatasi ke stasiun kerja yang hanya digunakan oleh petugas keamanan dan personel berwenang lainnya.
Beberapa cara lain yang bisa dilakukan adalah sbb:
- Nonaktifkan layanan yang tidak penting dan akun default pada perangkat pintar, dan ubah kata sandi default.
- Gunakan solusi EDR di semua server, stasiun kerja, dan perangkat lain yang kompatibel. Solusi yang dipilih harus mampu mendeteksi aktivitas server yang tidak lazim, seperti upaya enkripsi jarak jauh melalui SMB.
- Perluas program manajemen kerentanan dan patch untuk mencakup semua perangkat pintar dan perangkat lunak server. Mulailah dengan melakukan inventarisasi terperinci dari perangkat tersebut.
- Jika memungkinkan, terapkan pemantauan, seperti penerusan telemetri ke sistem SIEM, bahkan pada perangkat khusus yang tidak memungkinkan penerapan EDR: router, firewall, printer, kamera pengawas video, dan perangkat serupa.
- Pertimbangkan transisi ke solusi kelas XDR, yang menggabungkan pemantauan jaringan dan host dengan teknologi deteksi anomali, dan alat untuk respons insiden manual dan otomatis.
Demikian beberapa cara pencegahan yang direkomendasikan oleh tim keamanan siber Kaspersky. Semoga artikel ini membantu dan jaringan perusahaan terhindar dari serangan Ransomware Akira, ya.
