Perusahaan Ini Dihantam Serangan Ransomware yang Menghancurkan—Tapi Alih-alih Menyerah, Perusahaan Ini Membangun Kembali Segalanya

oleh -0 views

[ad_1]

Ketika ancaman ransomware tumbuh, perusahaan merasa terdesak untuk membayar sejumlah besar peretas yang menyandera sistem. Satu bisnis memutuskan untuk tidak menyerah pada tuntutan penyerang mereka.

Serangan siber seperti serangan global baru-baru ini yang berdampak pada banyak perusahaan selama akhir pekan Empat Juli, serangan mengganggu musim semi ini di Colonial Pipeline dan 2017 yang terkenal virus ingin menangis hanya tumbuh dalam frekuensi dan biaya. Lima tahun terakhir khususnya telah menunjukkan peningkatan yang nyata, dengan penyerang menyandera informasi dan arsitektur digital sambil menuntut tebusan yang lebih besar dan lebih besar.
[time-brightcove not-tgx=”true”]

Pada tahun 2021, sistem infrastruktur penting utama telah menjadi target favorit organisasi peretas. Itu serangan awal Mei di Colonial Pipeline, penyedia minyak utama di Pantai Timur, tidak hanya menunjukkan betapa rapuhnya standar keamanan siber perusahaan, tetapi juga bahwa bisnis integral berpotensi diperas untuk membayar uang tebusan. Colonial Pipeline membayar para penyerang $4.4 juta (dengan sebagian besar dipulihkan oleh pemerintah AS) dan insiden itu menyebabkan kekurangan gas yang meluas.

Tetapi jika sebuah perusahaan dapat diretas sekali, masuk akal bahwa mereka dapat diretas lagi.

Ketika Norsk Hydro, perusahaan manufaktur aluminium dan energi terbarukan Norwegia, baru-baru ini menghadapi serangan ransomware, mereka menanganinya dengan cara yang berbeda. Mereka menolak untuk membayar uang tebusan, dan mengambil tugas menghapus virus dari persamaan sama sekali.

Baca lebih banyak: Administrasi Biden Mengatakan Pembicaraan dengan Rusia tentang Serangan Cyber ​​Sedang Maju. Secara pribadi, Staf Skeptis

Pada bulan Maret 2019, pada hari Hilde Merete Aasheim ditunjuk sebagai CEO Norsk Hydro, dia menghadapi hari yang penuh dengan pertemuan dan wawancara media yang dapat diprediksi. Hal terakhir yang dia harapkan adalah panggilan bangun jam 4 pagi. Lelah, dia menjawab telepon dan mendengar apa yang dia anggap lelucon praktis di ujung sana.

“Itu biasanya tidak terjadi ketika Anda mendapat panggilan telepon,” kata Aasheim, yang dengan cepat diberitahu pada hari penyerangan itu. Dia mengatakan rekannya di ujung telepon mengatakan kepadanya: “Kami berada di bawah serangan dunia maya yang parah, Anda harus datang bekerja. Ini bukan latihan.”


Lainnya dari TIME


Serangan terhadap Norsk Hydro (yang menghasilkan energi yang cukup di Norwegia untuk 900.000 rumah per tahun) mempengaruhi jaringan global perusahaan dengan lebih dari 3.000 server dan ribuan PC lainnya, mengunci semua orang dan mengenkripsi area utama jaringan TI perusahaan.

Tanpa kunci dekripsi, (yang mungkin atau mungkin tidak diberikan oleh peretas setelah pembayaran ransomware) data tersebut hampir tidak dapat diakses. Tetapi bahkan mendapatkan kembali akses meninggalkan Norsk Hydro dengan sistem yang dikompromikan, satu menerima serangan lain. Perusahaan memutuskan tidak akan membayar uang tebusan, alih-alih memilih untuk menghubungi pakar keamanan siber. “Tidak pernah ada pilihan untuk membayar tebusan apa pun,” kata Aasheim, yang menduga para penyerang hanya akan kembali untuk mendapatkan lebih banyak.

Sementara virus serangan melumpuhkan jaringan perusahaan dan menghentikan produksi di semua fasilitas manufakturnya. Norsk Hydro membuat keputusan untuk menutup akses ke jaringan, dan beralih ke operasi manual dari sistem yang paling kritis, memperingatkan karyawan untuk menjauh dari perangkat mereka. Berikutnya adalah menutup jaringan internal perusahaan itu sendiri untuk mencegah penyebaran virus.

Sementara manfaat dari jaringan yang rusak berarti identifikasi virus jahat yang lebih mudah (karena aktivitas mencurigakan lebih menonjol), konsekuensinya mahal. Bagaimana Anda menjalankan perusahaan manufaktur tanpa komputer, bahkan selama lebih dari satu hari? Mereka harus memikirkan cara menanganinya selama berminggu-minggu.

“Itu adalah situasi yang sangat istimewa selama berminggu-minggu sebelum kami bisa mengatasinya… dan dapat mulai mengidentifikasi apa yang benar-benar dikompromikan,” kata Aasheim. Formulir pesanan tercetak, catatan tempel di pintu dan layar komputer hitam, jam kerja manual dan pembukuan yang ekstensif membantu memenuhi pesanan yang paling penting. Norsk Hydro mengandalkan pena dan kertas untuk melacak produksi dan keuangannya selama sekitar tiga minggu sampai akses komputer dapat dipulihkan, hanya sebagian, dan untuk pekerjaan yang sangat penting.

“Kami tidak memiliki pesanan, kami tidak memiliki apa pun di komputer,” kata Aasheim. Pabrik manufaktur harus beroperasi tanpa bantuan komputer, tugas yang sulit ketika membuat komponen aluminium presisi dan berurusan dengan peleburan yang mencapai 960 derajat celsius.

“Itu situasi yang cukup menakutkan jika Anda tidak memiliki, katakanlah, data untuk memandu Anda cara mengoperasikannya,” kata Aasheim. Dengan meminta mantan karyawan dan pensiunan Hydro yang akrab dengan metode manufaktur berbasis kertas untuk bergabung, fasilitas produksi dapat terus memenuhi pesanan yang lebih sederhana dari klien menggunakan kombinasi keahlian dan beberapa formulir dan prosedur pesanan yang dicetak secara fisik untuk tujuan tertentu. bagian.

Untuk memenuhi pesanan pelanggan, beberapa bekerja shift ganda untuk mengurangi kekacauan jadwal produksi klien sendiri. “Kami melakukan yang terbaik untuk menjauhkan pelanggan dari situasi yang sulit,” kata Aasheim. Insiden tersebut membuat Norsk Hydro mengalami kerugian sekitar $70 juta menurut laporan pendapatannya akhir tahun itu.

“Kami melakukan beberapa produksi canggih yang tidak dapat dilakukan tanpa otomatisasi terbaik, tetapi kami memiliki, misalnya, pesanan darurat yang merupakan produk yang lebih mudah yang kami tahu dapat diproduksi secara manual,” Norsk Hydro CIO Jo De Vleigher, yang membantu memimpin upaya pemulihan selama berbulan-bulan setelah serangan. Produksi manual sama sekali bukan solusi optimal, tetapi lebih baik daripada mematikan fasilitas produksi secara penuh. “Kita bisa menjaga mesin tetap berjalan, kita bisa menjaga oven tetap hangat” kata De Vliegher.

Untuk memerangi penyerang, De Vliegher, bersama dengan bantuan lembaga termasuk tim respons keamanan siber Microsoft dan Pusat Keamanan Siber Nasional Norwegia, membentuk trio tim yang bekerja untuk menyelidiki korupsi virus, operasi bisnis sehari-hari, dan membangun kembali jaringan paralel dengan jaringan saat ini. Sayangnya itu berarti memeriksa akun lebih dari 30.000 karyawan dan bahkan lebih banyak akun layanan untuk kasus aktivitas jahat.

“Mereka semua perlu dikarantina, dibersihkan, dipantau sampai sistem yang ada, sekali lagi, memiliki platform untuk mulai berbicara satu sama lain,” kata De Vliegher. Program seperti yang melumpuhkan Norsk Hydro tidak meninggalkan banyak jejak, dan tinggal di memori server, sehingga sulit untuk dihilangkan.

Sistem penting, seperti perangkat lunak khusus manufaktur, harus dibangun kembali selama sekitar tiga minggu. Sistem lain, termasuk direktori pengguna perusahaan dan layanan cloud (yang untungnya tidak tersentuh), membutuhkan waktu selama tiga bulan untuk kembali online.

Baca lebih banyak: Poppy Gustafsson, CEO Darktrace, tentang Memerangi Peretas Selama Gelombang Kejahatan Dunia Maya

Insiden itu merupakan perubahan paradigma pandangan Norsk Hydro tentang keamanan siber, dan kesempatan untuk membuat beberapa perubahan penting pada cara operasi keamanan siber mereka dijalankan. “Saya pikir, pertama-tama, keamanan siber dan risiko siber harus menjadi agenda strategis utama perusahaan mana pun,” kata Aasheim. “Itu hanya menjadi semakin maju, dan serangan-serangan itu ada di luar sana saat kita berbicara dan hanya menjadi semakin rumit. Ada seluruh rantai nilai bisnis di luar sana dalam hal cara menyerang perusahaan.”

Badan Keamanan Cybersecurity & Infrastruktur AS (CISA), yang membantu perusahaan seperti Colonial Pipeline dalam insiden ransomware serupa, mengatakan para korban serangan siber tidak boleh membayar uang tebusan, karena mereka dapat memicu serangan lebih lanjut.

“Membayar uang tebusan tidak memberikan jaminan bahwa organisasi korban akan mendapatkan kembali akses ke data mereka atau data curian mereka dikembalikan,” kata pejabat CISA Eric Goldstein. “Juga, ransomware adalah ekonomi kriminal yang didorong oleh pembayaran uang tebusan. Dan selama korban membayar uang tebusan, kita dapat mengharapkan kelompok-kelompok kriminal ini lebih didorong untuk melakukan serangan berkelanjutan.”

“Jika ekstrusi ransomware berdampak pada data yang disimpan di jaringan bisnis, pemerintah AS dapat menawarkan bantuan respons insiden dan bantuan lain kepada korban ransomware,” kata Goldstein. “Tetapi dengan mengambil beberapa praktik terbaik mendasar ini, organisasi dapat secara signifikan mengurangi jenis biaya yang diperlukan untuk membangun kembali jaringan mereka setelah hal itu terjadi.”

“Saya pikir keputusan kami dikonfirmasi nanti karena setelah sistem Anda dienkripsi, banyak kerusakan telah terjadi di sepanjang jalan,” kata Halvor Molland, Norsk Hydro SVP dan salah satu anggota tim respons. “Jadi, bahkan jika kamu mendapatkan kunci enkripsi [from the attackers], tidak ada jaminan itu akan berhasil, dan Anda masih harus memperbaiki masalah bahwa sistem Anda telah disusupi.”

CEO perusahaan cybersecurity Dragos Rob Lee memuji penanganan Norsk Hydro atas situasi tersebut. “Itu sangat transparan,” kata Lee. “Jika Anda memengaruhi publik atau rantai pasokan, itu membantu mengatasi banyak kekhawatiran dan itu benar-benar praktik yang baik.”

Dengan ribuan komputer dan karyawan, hanya perlu satu email mencurigakan dibuka untuk memungkinkan pelaku jahat masuk ke jaringan Anda. Pada saat itu, ini bukan tentang membasmi mereka, tetapi menghentikan mereka dari menginfeksi jaringan perusahaan lebih jauh. Sandboxing lampiran dalam email (pada dasarnya mengkarantina mereka untuk melihat apakah mereka berbahaya di alam), menggunakan AI untuk memindai jaringan untuk aktivitas asing, dan mengajar karyawan bagaimana menanggapi aktivitas yang mencurigakan telah membuat Norsk Hydro sebuah perusahaan lebih sadar bahwa serangan dapat terjadi setiap saat.

“Kami mulai melihat semacam tren di mana beberapa di antaranya [ransomware groups] tampaknya sengaja menargetkan sisi industri dari perusahaan infrastruktur ini,” kata Lee. “Saya pikir mereka menghargai dan memahami bahwa jika Anda mengunci sistem operasi, perusahaan-perusahaan itu lebih siap untuk membayar, lebih cepat untuk membayar, dan lebih kecil kemungkinannya untuk mencoba menegosiasikannya karena biaya turun dalam hal keandalan. , keamanan, nilai bisnis, dan lain-lain, sangat penting.”

Terlepas dari konsekuensinya — puluhan juta dolar dalam bisnis yang hilang — keterbukaan dan sifat jujur ​​perusahaan ketika membahas serangan ransomware sudah cukup untuk melindungi harga sahamnya dari guncangan signifikan, dan mencegah serangan lebih lanjut terhadap berbagai perusahaan yang menggunakan ransomware yang sama. virus, karena Norsk Hydro bekerja sama dengan pejabat keamanan siber di Norwegia.

“Sebenarnya pada hari itu, harga saham kami melebihi kinerja pasar, yang secara teori sulit dibayangkan ketika Anda mengatakan bahwa Anda telah menjadi korban serangan cyber terbesar di Norwegia,” kata Halvor Molland, Norsk Hydro SVP dan anggota tim yang bertanggung jawab untuk membangun kembali jaringan perusahaan.

Dapatkah Anda memastikan bahwa Anda telah menghapus malware secara menyeluruh dari jaringan Anda, dari seluruh perusahaan Anda? Bisakah Anda menjamin penyerang tidak akan kembali? “Tidak, Anda tidak bisa,” kata De Vleigher.

Ransomware adalah bisnis yang menguntungkan, yang berarti serangan, ratusan ribu per hari, tidak akan berhenti dalam waktu dekat. Dengan risiko peretas yang sebenarnya sangat minim (tidak ada yang ditangkap karena serangan Norsk Hydro) sementara pembayarannya semakin besar, ini adalah upaya terus-menerus untuk tetap selangkah lebih maju. Norsk Hydro dan Colonial Pipeline juga tidak sendirian. Saat ini, jaringan infrastruktur penting diserang secara teratur. Pada tahun 2020, IC3 menerima 2.474 keluhan yang diidentifikasi sebagai ransomware, yang kerugiannya mencapai lebih dari $29 juta, dan tidak memperhitungkan kerugian waktu, file, atau peralatan.

“Jika ada satu hal yang kami pelajari, bahwa jika seorang peretas yang kompeten benar-benar ingin masuk ke sebuah perusahaan, mereka akan berhasil, apa pun yang terjadi,” kata De Vleigher. “Ini tidak seperti virus biasa, bukan karena kami diserang dan sekarang kami kebal. Kami telah melakukan banyak upaya dalam penanganan dan pemulihan krisis serta pencegahan, karena kami sangat sadar bahwa ini adalah perang asimetris. Kita harus sempurna setiap saat. Mereka hanya perlu beruntung sekali, dan cepat atau lambat mereka mungkin akan beruntung lagi.”

Sumber Berita

[ad_2]

Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *