'Sangat layak untuk memulai perang': seberapa berbahayakah peretas ransomware? | Kejahatan dunia maya

They punya nama yang hanya diimpikan oleh remaja laki-laki atau penjahat Bond (REvil, Grief, Wizard Spider, Ragnar), mereka mendasarkan diri di negara-negara yang tidak bekerja sama dengan penegak hukum internasional dan mereka tidak peduli apakah mereka menyerang rumah sakit atau perusahaan multinasional. Geng Ransomware tiba-tiba ada di mana-mana, tampaknya tak terbendung – dan sangat sukses.

Pada bulan Juni, produsen daging JBS, yang memasok lebih dari seperlima dari semua daging sapi di AS, membayar tebusan £7,eight juta untuk mendapatkan kembali akses ke sistem komputernya. Pada bulan yang sama, pipa bahan bakar nasional terbesar di AS, Colonial Pipeline, membayar £3,1 juta kepada peretas ransomware setelah mereka mengunci sistem perusahaan, menyebabkan kekurangan bahan bakar selama berhari-hari dan melumpuhkan pantai timur. “Itu adalah keputusan tersulit yang saya buat dalam 39 tahun saya di industri energi,” kata CEO Kolonial Joseph Blount yang tampak kempis dalam sesi bukti di depan Kongres. Pada bulan Juli, peretas menyerang perusahaan perangkat lunak Kaseya, menuntut £50 juta. Akibatnya, ratusan grocery store harus tutup di Swedia, karena mesin kasir mereka tidak berfungsi.

Geng – perusahaan kriminal yang meretas ke dalam sistem komputer yang terhubung ke web, mengunci akses ke sana, dan kemudian menjual kunci dekripsi dengan imbalan pembayaran dalam bitcoin – telah menargetkan sekolah, rumah sakit, dewan, bandara, badan pemerintah, jaringan pipa minyak, universitas, kontraktor nuklir, perusahaan asuransi, distributor bahan kimia dan produsen senjata. Peretas belum menargetkan pengontrol lalu lintas udara, tetapi beberapa percaya bahwa ini hanya masalah waktu.

Semua organisasi rentan, meskipun candy spot adalah bisnis menengah yang memiliki pendapatan yang cukup untuk menjadikannya goal yang menguntungkan, tetapi tidak cukup besar untuk memiliki tim keamanan siber khusus. “Setiap orang yang menggunakan sistem komputer yang terhubung ke web memiliki kerentanan,” kata Dr Herb Lin, pakar keamanan siber di Universitas Stanford.

Rusia adalah hotspot utama bagi penyerang ransomware untuk bermarkas, seperti halnya Iran. Cyrillic – alfabet Rusia – biasanya digunakan di discussion board ransomware atau kode sumber. “Bukannya pemerintah Rusia yang melakukan serangan ransomware ini,” kata Lin, “tetapi mereka memiliki pengaturan di mana cyber-mob yang berbasis di Rusia dapat melakukan aktivitas mereka di luar Rusia, dan negara menutup mata terhadapnya. Kesepakatan diam-diam adalah, jika Anda meretas sistem Rusia, Anda berada dalam masalah.” Saya bertanya kepada Lin mengapa pihak berwenang Rusia begitu lunak. “Dugaan saya adalah bahwa Putin mendapat potongan,” katanya.

Peretas ini beroperasi sebagai geng terorganisir: beberapa anggota berspesialisasi dalam mengidentifikasi sistem yang disusupi dan mendapatkan akses, sementara yang lain menangani negosiasi tebusan. (Penyelidik yang melacak pembayaran tebusan akan sering melihat cryptocurrency ditransfer ke banyak dompet dunia maya yang berbeda setelah transaksi dilakukan, karena alasan ini.)

Dan mereka tidak malu dengan publisitas – beberapa bahkan memberikan wawancara media. “Saya tahu setidaknya beberapa afiliasi memiliki akses ke sistem peluncuran rudal balistik… Ini cukup layak untuk memulai perang,” kata juru bicara REvil yang tidak disebutkan namanya dalam satu wawancara. "Tapi itu tidak sepadan – konsekuensinya tidak menguntungkan." Setiap kelompok memiliki karakter yang berbeda. “REvil memiliki beberapa bakat, seperti halnya Pysa, yang cukup snarky,” kata Brett Callow dari perusahaan cybersecurity Emsisoft. “Di ujung lain spektrum, Ryuk adalah robotic dalam pendekatan mereka.”

Baru-baru ini, geng-geng ini telah berputar untuk memeras individu. Jika korban tidak membayar, information mereka yang dicuri akan dibuang secara on-line, atau dijual di internet gelap kepada penawar tertinggi. (Tidak ada cara untuk mengetahui apakah information tersebut dijual, bahkan jika korban membayar.) Beberapa dari tuntutan pemerasan ini mengambil tenor yang kejam: REvil baru-baru ini mengancam akan mempublikasikan informasi yang merusak tentang CEO Invenergy Michael Polsky setelah dia menolak untuk membayar tebusan. "Kami tahu rahasianya… kami akan berbagi dengan Anda beberapa foto menjijikkan, dan banyak fakta menarik dari hidupnya," tulis para peretas di weblog internet gelap mereka. Dan pandemi telah terbukti sangat subur bagi geng ransomware. Menurut sebuah laporan dari perusahaan perangkat lunak keamanan siber Bitdefender, serangan meningkat sebesar 485% pada tahun 2020 saja. “Ini lepas landas sejak Covid karena kami memiliki lebih banyak orang yang bekerja dari rumah,” kata Sophia, pakar komunikasi krisis yang berspesialisasi dalam memberi nasihat kepada perusahaan yang menjadi sasaran peretas ransomware. Login dengan akses jarak jauh yang tidak aman adalah rute yang umum. “Lebih banyak lingkungan digital mengarah ke lebih banyak titik masuk bagi penyerang,” katanya. “Satu setengah tahun terakhir telah menjadi permainan bola yang benar-benar baru.”

'Anda tidak bisa menjadi seorang puritan di ruang ini. Anda berurusan dengan mata pencaharian staf Anda: layar komputer yang diretas.
'Anda tidak bisa menjadi seorang puritan di ruang ini. Anda berurusan dengan mata pencaharian staf Anda: layar komputer yang diretas. Foto: Getty Photos

Saya bertanya berapa banyak kasus yang dia tangani secara pribadi tahun ini. Sofia menghela nafas. “Mungkin tahun ini lebih dari 50. Dan ini baru bulan Juli.”

Semua ahli Saya berbicara dengan setuju – banyak korban ransomware membayar. "Sekitar setengahnya," kata Sophia tentang kliennya. “Saya melakukan satu pekerjaan untuk sebuah organisasi di Australia,” kata Nick Klein dari perusahaan keamanan siber Australia CyberCX, “di mana CEO benar-benar berjalan di sekitar kantor mereka dengan kartu kredit, mengatakan, 'Bagaimana saya bisa mengubah uang menjadi bitcoin?'” Alastair MacGibbon dari CyberCX selalu menyarankan kliennya untuk tidak membayar, tetapi dia tidak menghakimi mereka yang melakukannya: “Anda tidak bisa menjadi puritan di ruang ini. Anda berurusan dengan mata pencaharian staf Anda, dan berusaha melindungi pemasok Anda. Ada alasan yang sah untuk membayar.”

Negosiator spesialis sering dibawa untuk menawar geng. “Ini kesepakatan bisnis,” kata Klein, yang merupakan salah satu negosiator tersebut. “Anda perlu membuat penyerang mengerti bahwa Anda ingin melakukan transaksi bisnis dengan mereka, dan mereka harus realistis dan mencapai kesepakatan yang menguntungkan kedua belah pihak.” Dia berhasil menukar peretas dari tuntutan puluhan juta dolar, menjadi di bawah $ 100.000. "Sebaliknya," kata Klein, "Saya telah melakukan pekerjaan di mana kami pergi ke penjahat dan berkata, perusahaan tidak mampu membayar ini, dan mereka mengirim kembali salinan laporan keuangan mereka." Dia terkekeh: "Itu penjahat yang berpengetahuan luas."

Namun terlepas dari kenyataan bahwa banyak korban ransomware membayar, kode omertà berlaku. Tidak ada yang akan membicarakannya dengan saya. Panggilan telepon tidak dijawab; e mail diabaikan. Seorang CEO menjawab ponselnya, mengacak-acak tidak jelas dengan kecepatan sangat tinggi, dan menutup telepon. Setiap orang yang bekerja di bidang ini memberi tahu saya hal yang sama: mereka tahu lusinan, jika bukan ratusan, eksekutif yang telah membayar uang tebusan, dan tidak seorang pun akan berbicara dengan saya. “Ada stigma yang melekat,” kata MacGibbon. “Dan ada ketakutan akan revictimisasi.”

Tapi akhirnya, saya melacak seseorang yang akan berbicara …

Kamis, 11 Januari 2018 adalah hari yang sama seperti hari-hari lainnya di Rumah Sakit Regional Hancock di kota Greenfield, Indiana. Cuaca buruk mendekat dan kasus flu meningkat. Pada 21:30, pesan mulai muncul di layar komputer, mengumumkan bahwa sistem telah dienkripsi menggunakan ransomware SamSam. Peretas masuk melalui kata sandi milik vendor pihak ketiga yang telah dilanggar dan dijual di internet gelap. Jika rumah sakit ingin mendapatkan kembali akses ke sistemnya, ia harus membayar tebusan empat bitcoin, yang setara dengan sekitar £40.000. Sampai saat itu, setiap file terkunci.

Di rumah, di tempat tidur di samping istrinya, Steve Lengthy menerima telepon dari seorang administrator sekitar tengah malam. Dia segera pergi ke rumah sakit, di mana dia menatap dengan bingung pada baris demi baris layar komputer yang terkunci.

“Mereka menargetkan kami secara khusus,” katanya. “Orang macam apa yang melakukan itu? Tidak masuk akal untuk melakukan itu ke rumah sakit. ”

Lama adalah orang yang paling langka – seorang pria yang mau mengaku membayar permintaan tebusan. CEO rumah sakit memiliki sikap kepala sekolah yang ramah dan sangat jujur ​​tentang keputusannya untuk membayar para peretas, yang berbasis di Iran.

“Itu adalah keputusan yang buruk,” katanya, “dan saya setuju dengan semua alasan untuk tidak membayar uang tebusan. Tetapi ketika Anda berada dalam situasi itu, Anda menemukan dengan cepat bahwa ini tentang kelangsungan bisnis.” Ada beberapa pukulan balik, tentu saja. "Orang-orang berkata, 'Anda seharusnya tidak pernah membayar uang tebusan untuk alasan apa pun.' Tapi mereka adalah orang-orang yang tidak pernah berada dalam situasi itu."

Setelah begadang sepanjang Kamis malam, Lengthy membuat keputusan untuk membayar sekitar tengah hari keesokan harinya – mereka akan memasuki liburan akhir pekan dan financial institution akan tutup hingga Selasa. Tepat ketika dia bersiap untuk melakukan transaksi, dia menerima telepon: seorang reporter di koran lokal telah mengetahui berita itu.

Lengthy memiliki tiga pilihan: berbohong, mengaburkan, atau mengatakan yang sebenarnya. Dia mengundang reporter itu ke rumah sakit dan memberi tahu dia apa yang sebenarnya terjadi. “Kami pikir penting untuk menceritakan kisah kami,” katanya, “karena tidak ada yang pernah membicarakan ini dan, karena tidak ada yang pernah membicarakannya, tidak ada yang pernah belajar.”

Dia berharap bahwa berbagi pengalamannya akan mendorong organisasi lain untuk menanggapi ancaman yang ditimbulkan oleh peretas ransomware dengan serius. “Sebagai seorang individu,” kata Lengthy, “Anda pikir itu tidak akan terjadi dan Anda tidak akan pernah menemukan diri Anda berada di tengah-tengahnya. Dan kemudian Anda duduk di ruang konferensi administrator dan satu-satunya akses luar yang Anda miliki ke dunia adalah laptop computer pribadi Anda, alamat e mail, dan hotspot di ponsel Anda.”

Sabtu pagi, rumah sakit membayar uang tebusan. Peretas, baik untuk kata-kata mereka, memberikan kunci dekripsi dan pada Senin pagi sebagian besar hal kembali regular. Lengthy mengadakan pesta staf dengan van cupcake dan minuman. Dia bahkan membuat T-shirt. Mereka membaca: "Saya selamat dari kiamat dunia maya tahun 2018, dan yang saya dapatkan hanyalah T-shirt konyol ini."

Di dalam dunia ransomware, tidak ada mutlak ethical tepuk. Lama dibayar, keselamatan pasien dilindungi, dan membuat rumah sakit kembali dan berjalan lagi, tetapi dia juga memasukkan uang ke kantong penjahat, dan mendorong mereka untuk melakukannya lagi, ke rumah sakit lain. Tidak membayar adalah sikap berprinsip, tetapi penuh dengan risiko. Sering kali, tidak membayar merusak, mengganggu, dan sebenarnya merugikan organisasi lebih dari permintaan tebusan. Ketika Atlanta menolak untuk membayar uang tebusan £36.000 pada tahun 2018, kota itu menelan biaya lebih dari £1,eight juta untuk membangun kembali.

“Kami tidak akan menerima gagasan membayar uang tebusan,” kata Rob Miller dari dewan Hackney, yang dipukul pada Oktober 2020. “Itu menempatkan organisasi dan dewan lain dalam risiko, karena itu menciptakan preseden bahwa kami akan membayar. Dan itu mendanai kriminalitas jahat, termasuk eksploitasi anak.” Keputusan etis, tentu saja, meskipun penduduk Hackney mungkin tidak setuju karena, 10 bulan kemudian, dewan masih tidak memiliki akses ke banyak sistem intinya. Sistem pajak dewan tidak sepenuhnya beroperasi, juga bukan sistem untuk mencatat tarif bisnis. Mungkin sembilan bulan lagi sebelum kantor tunjangan kembali regular.

Akibat kisruh tersebut, penjualan rumah warga anjlok dan banyak yang belum bisa mengakses manfaat yang menjadi haknya. Mungkin yang terburuk, peretas memposting informasi pribadi tentang penduduk Hackney, termasuk information paspor, di internet gelap, untuk dieksploitasi oleh penjahat. "Jelas," kata Miller, "itu terasa mengerikan." Tetapi dia dengan tegas menolak gagasan bahwa akan lebih baik untuk membayar, atau bahwa Dewan Hackney harus dianggap bersalah karena tidak melindungi penduduk mereka dengan lebih baik. "Kami sangat jelas bahwa orang-orang yang seharusnya merasa bersalah adalah penjahat yang menyebabkan ini," kata Miller.

Mungkin. Tetapi kenyataannya adalah bahwa penjahat dapat mengakses sistem Hackney melalui kelemahan keamanan dan akibatnya, penduduk menderita. Miller memberi tahu saya bahwa petugas dewan telah bekerja sepanjang waktu untuk meminimalkan gangguan layanan, dan mengidentifikasi orang-orang yang mungkin terpengaruh oleh pelanggaran tersebut, dan menawarkan dukungan. Tapi apakah itu cukup?

“Adalah pandangan pribadi saya bahwa organisasi harus bertanggung jawab atas pelanggaran keamanan siber yang bisa mereka perbaiki, tetapi tidak,” kata Lin. Di bawah undang-undang Inggris dan AS yang ada, organisasi harus memberi tahu individu yang datanya telah disusupi oleh penjahat dunia maya, tetapi mereka biasanya tidak harus membayar denda. "Mari kita berpura-pura mereka harus membayar $20 setiap kali mereka menulis kepada seseorang yang memberi tahu mereka tentang pelanggaran information," kata Lin. “Mereka akan mulai memperhatikan (keamanan siber mereka) saat itu.” Saya bertanya kepadanya apakah benar untuk membuat korban kembali menjadi korban kejahatan – lagipula, kita tidak akan mendenda korban perampokan karena membiarkan jendela terbuka. “Saya juga korban kejahatan,” kata Lin. “Siapa yang memberi saya kompensasi? Mengapa mereka harus turun karena memiliki tindakan pencegahan keamanan yang tidak memadai yang menyebabkan saya menderita bahaya ini? ”

Ini adalah proposisi yang kuat, meskipun tidak mungkin untuk melihat cahaya hari, karena ratusan, jika bukan ribuan, bisnis mungkin akan bangkrut. Beberapa organisasi yang menjadi sasaran para penjahat tentu saja ceroboh. Peretas yang masuk ke Colonial Pipeline melakukannya karena tidak ada otentikasi dua faktor yang disiapkan pada akun VPN – ukuran keamanan dasar. Tetapi seorang peretas yang berbakat dan teliti dapat memperoleh akses ke sebagian besar sistem komputer yang terhubung ke web.

“Apa yang kita miliki saat ini adalah kegilaan makan yang merupakan akibat dari perusahaan membayar jumlah uang yang semakin menggelikan,” kata Callow, “dan para penjahat dapat beroperasi dengan impunitas yang hampir sempurna.” Dia yakin solusinya adalah pemerintah membuat pembayaran uang tebusan kepada penjahat dunia maya menjadi ilegal. Di AS dan Inggris saat ini tidak ilegal dan perusahaan asuransi akan sering menanggung pembayaran uang tebusan, yang terkadang dapat dikurangkan dari pajak. “Serangan Ransomware terjadi karena satu alasan,” kata Callow. “Karena mereka menguntungkan. Jadi organisasi harus berhenti membayar uang tebusan. Itulah satu-satunya cara untuk menghentikan serangan.”

Pemerintah adalah akhirnya terbangun oleh ancaman mengerikan yang ditimbulkan oleh peretas ransomware. Di Inggris, pemimpin keamanan siber GCHQ baru-baru ini memperingatkan bahwa ransomware menimbulkan ancaman yang lebih besar terhadap keamanan on-line daripada negara-negara yang bermusuhan. Di AS, Presiden Biden telah membentuk satuan tugas pemerintah anti-ransomware multi-lembaga. FBI baru-baru ini berhasil memulihkan £1,6 juta tebusan Colonial Pipeline, menunjukkan bahwa bitcoin tidak dapat dilacak seperti yang diperkirakan sebelumnya, atau bahwa penyelidik memiliki intelijen pada kelompok di balik serangan itu. Bulan ini, REvil – yang paling terkenal dari semua grup ransomware – offline. Tidak ada yang yakin mengapa, tetapi tindakan keras itu mungkin memainkan peran.

Sementara legislator mencoba mencari solusi, organisasi yang lebih cerdas melakukan semua yang mereka bisa untuk melindungi diri mereka dari serangan. "Saya memberi tahu klien saya untuk bersiap menghadapi insiden cyber mimpi buruk terburuk mereka," kata Sophia. Miller dan Lengthy mendesak organisasi untuk meningkatkan pengeluaran keamanan siber mereka: Dewan Hackney telah mempercepat perpindahannya ke layanan berbasis cloud, yang kurang rentan terhadap peretas, sementara Rumah Sakit Regional Hancock membayar perusahaan keamanan eksternal untuk mengawasi jaringan mereka 24/7, memantau potensi pelanggaran. “Ini seperti setelah Kebakaran Besar London,” kata Miller tentang upaya keamanan dewan pasca-retas, “mereka membangun gedung-gedung batu dengan jalan-jalan yang lebih lebar. Itu tidak menghentikan semua kebakaran terjadi, tetapi mengurangi kemungkinannya.”

Dan tentu saja, kembali ke dasar. “Cadangan selalu berupa kertas,” kata Lengthy. “Kami memiliki pengamanan lain secara elektronik. Tapi rumah sakit memiliki cadangan kertas yang selalu kami kunjungi.” Karena di dunia digital, terkadang satu-satunya cara untuk melindungi diri dari penjahat dunia maya di masa depan adalah mencari perlindungan di masa lalu yang serupa.

Beberapa nama telah diubah