Home Networking Mengapa serangan ransomware berhasil meskipun ada cadangan
Networking

Mengapa serangan ransomware berhasil meskipun ada cadangan

Sponsored by Acronis6 min read
1
mengapa-serangan-ransomware-berhasil-meskipun-ada-cadangan
Mengapa serangan ransomware berhasil meskipun ada cadangan

Ditulis oleh Subramani Raom Manajer Senior, Strategi Solusi Keamanan Siber di Acronis

Rencana cadangan Anda mungkin tidak akan bertahan dari serangan ransomware. Mengapa? Karena pencadangan gagal selama serangan ransomware ketika penyerang dengan sengaja menargetkan dan menghancurkan sistem cadangan sebelum meluncurkan enkripsi. Dalam serangan modern, infrastruktur cadangan sering kali terekspos, dapat diakses, dan tidak terlindungi, sehingga pemulihan menjadi tidak mungkin dilakukan. Apa yang seharusnya berfungsi sebagai mekanisme pemulihan malah menjadi satu titik kegagalan.

Platform seperti Acronis Cyber ​​Platform mengatasi masalah ini dengan menggabungkan pencadangan dengan kontrol keamanan seperti kekekalan, perlindungan akses, dan deteksi ancaman.

Selama bertahun-tahun, pencadangan telah diposisikan sebagai upaya terakhir dalam strategi keamanan siber, yang merupakan jaminan bahwa meskipun sistem disusupi, pemulihan masih dapat dilakukan. Namun ada kenyataan baru yang tidak menyenangkan: Pencadangan sering kali gagal selama serangan ransomware bukan karena pencadangan tidak ada, melainkan karena pencadangan terekspos, dapat diakses, dan tidak terlindungi.

Bukan rahasia lagi bahwa kecepatan dan tingkat keparahan serangan ransomware terus meningkat. Jumlah serangan meningkat 50% tahun lalu, menurut Laporan Ancaman Siber Acronis Semester 2 2025. Sudah waktunya bagi para profesional TI dan keamanan untuk memikirkan kembali asumsi lama tentang pencadangan dan pemulihan.

Bagaimana penyerang secara sistematis merusak strategi cadangan

Sebagian besar serangan ransomware mengikuti urutan yang dapat diprediksi:

Akses awal → pencurian kredensial → pergerakan lateral → penemuan cadangan → penghancuran cadangan → penyebaran ransomware

Untuk menghentikan rantai ini, organisasi memerlukan pengendalian di setiap tahap. Misalnya, Acronis mengintegrasikan perlindungan titik akhir, pemantauan kredensial, dan perlindungan cadangan dalam satu platform untuk mendeteksi ancaman sebelum cadangan disusupi.

Sistem cadangan jarang terisolasi. Setelah penyerang mendapatkan kredensial administratif, mereka dapat:

  • Menghitung server cadangan dan repositori penyimpanan.
  • Akses konsol cadangan melalui kredensial yang dicuri.
  • Hapus atau enkripsi file cadangan dan snapshot.
  • Nonaktifkan agen pencadangan dan pekerjaan terjadwal.
  • Ubah kebijakan penyimpanan untuk menghapus titik pemulihan.

Teknik umum meliputi:

  • Menghapus Volume Shadow Copies (VSS) pada sistem Windows.
  • Menggunakan alat admin yang sah (teknik hidup di luar negeri).
  • Menargetkan snapshot hypervisor di lingkungan virtual.
  • Memanfaatkan akses API ke penyimpanan cadangan cloud.

Pada saat ransomware dijalankan, semuanya sudah terlambat. Jalur pemulihan sudah hilang.

Kegagalan pencadangan paling umum dalam insiden ransomware

Dalam investigasi respons insiden, beberapa kelemahan berulang menjelaskan mengapa strategi pencadangan dan pemulihan ransomware gagal.

Tidak ada isolasi antara produksi dan cadangan

Sistem cadangan sering kali berada di domain yang sama, menggunakan kredensial yang sama, dan dapat dijangkau dari host yang disusupi. Hal ini menghilangkan pemisahan yang berarti antara sistem produksi dan cadangan.

Kontrol akses yang lemah

Kredensial admin yang dibagikan, kurangnya autentikasi multifaktor (MFA), dan akun layanan yang memiliki hak istimewa memberikan kemudahan bagi penyerang untuk masuk ke infrastruktur cadangan.

Tidak ada kekekalan

Jika cadangan dapat diubah atau dihapus, penyerang akan menghapusnya. Pencadangan tradisional tanpa kekekalan hanya memberikan sedikit hambatan.

Proses pemulihan yang belum teruji

Organisasi sering kali menemukan saat terjadi insiden bahwa pencadangan tidak lengkap, rusak, atau terlalu lambat untuk dipulihkan dalam skala besar.

Alat keamanan dan cadangan tersembunyi

Sistem cadangan sering kali beroperasi secara independen dari pemantauan keamanan, sehingga serangan terhadap infrastruktur cadangan tidak terdeteksi.

Mengapa kekekalan sangat penting untuk perlindungan ransomware

Jika cadangan dapat diubah atau dihapus, penyerang akan menghapusnya. Inilah sebabnya mengapa pencadangan tradisional gagal.

Pencadangan yang tidak dapat diubah mencegah perubahan atau penghapusan apa pun selama jangka waktu tertentu, memastikan titik pemulihan yang bersih selalu ada. Acronis Cyber ​​Platform menyediakan penyimpanan yang tidak dapat diubah dengan kebijakan penyimpanan yang diberlakukan dan perlindungan terhadap penyalahgunaan kredensial.

Karakteristik utama dari cadangan yang tidak dapat diubah meliputi:

  • Penyimpanan tulis sekali, baca banyak (WORM).
  • Kunci retensi berbasis waktu.
  • Perlindungan terhadap API dan penyalahgunaan kredensial.
  • Penegakan pada lapisan penyimpanan bukan hanya perangkat lunak.

Bahkan jika penyerang mendapatkan akses administratif penuh, cadangan yang tidak dapat diubah tetap utuh. Hal ini memastikan bahwa titik pemulihan yang bersih selalu ada, yang penting untuk kelangsungan bisnis.

Namun, kekekalan saja tidaklah cukup. Ini harus dikombinasikan dengan kontrol akses, pemantauan dan validasi pemulihan.

5 cara untuk melindungi cadangan dari ransomware

Untuk penyedia layanan terkelola (MSP) dan tim TI perusahaan yang mengelola berbagai lingkungan, mengamankan cadangan memerlukan konsistensi dan standarisasi.

Praktik utama meliputi:

1. Menerapkan pemisahan identitas: Gunakan kredensial khusus dan MFA

2. Isolasikan lingkungan pencadangan: Segmentasikan jaringan dan batasi akses

3. Gunakan cadangan yang tidak dapat diubah: Mencegah penghapusan atau modifikasi

4. Pantau aktivitas pencadangan: Deteksi perilaku abnormal sejak dini

5. Uji pemulihan secara teratur: Pastikan cadangan dapat dipulihkan

Platform seperti Acronis mengintegrasikan semua kemampuan ini ke dalam satu solusi, mengurangi kompleksitas dan meningkatkan ketahanan.

Apa yang harus dilakukan jika cadangan sudah disusupi

Ketika cadangan terkena dampak serangan ransomware, pemulihan menjadi jauh lebih kompleks.

Pilihan untuk memperbaiki situasi ini meliputi:

  • Mengidentifikasi salinan cadangan lama yang belum tersentuh jika ada.
  • Memanfaatkan penyimpanan abadi di luar lokasi atau berbasis cloud.
  • Membangun kembali sistem dari dasar yang bersih.
  • Menggunakan analisis forensik untuk menentukan keadaan baik yang terakhir diketahui.

Hal ini menyoroti poin penting: Pemulihan bukan hanya tentang memiliki cadangan tetapi tentang memiliki cadangan yang dapat dipercaya.

Membangun strategi pencadangan yang tahan terhadap ransomware

Penelitian Acronis jelas: untuk melindungi cadangan dari ransomware, organisasi harus beralih dari pemikiran cadangan tradisional dan mengadopsi pendekatan yang mengutamakan ketahanan.

MSP dan organisasi yang ingin memastikan cadangan terlindungi dari serangan ransomware harus berinvestasi pada solusi perlindungan seperti yang ada di Platform Siber Acronisyang meliputi:

Mengintegrasikan keamanan dan cadangan

Sistem cadangan tidak boleh beroperasi secara terpisah. Deteksi, perlindungan, dan pemulihan harus bekerja sama.

Mengotomatiskan perlindungan dan pemulihan

Proses manual gagal di bawah tekanan. Validasi pencadangan otomatis dan orkestrasi pemulihan mengurangi risiko.

Memastikan visibilitas ujung ke ujung

Tim keamanan memerlukan visibilitas terhadap status pencadangan, anomali, dan indikator potensi kompromi.

Merancang skenario serangan

Asumsikan penyerang akan mencapai sistem cadangan dan merancang kontrol yang sesuai.

Pergeseran menuju perlindungan siber terintegrasi

Salah satu kesenjangan terbesar dalam arsitektur tradisional adalah fragmentasi. Alat terpisah untuk perlindungan, pencadangan, dan pemantauan titik akhir menciptakan titik buta yang dapat dieksploitasi oleh penyerang.

Pendekatan yang lebih efektif adalah dengan menggabungkan kemampuan-kemampuan ini ke dalam sebuah platform terpadu yang dapat:

  • Deteksi ancaman sebelum penyusupan cadangan terjadi.
  • Melindungi infrastruktur cadangan dengan ketelitian yang sama seperti sistem produksi.
  • Pastikan titik pemulihan tetap utuh dan terverifikasi.
  • Memberikan visibilitas terpusat di seluruh lingkungan.

Solusi seperti Platform Siber Acronis dirancang berdasarkan model terintegrasi ini, menggabungkan pencadangan, keamanan siber, dan manajemen pemulihan ke dalam satu kerangka kerja operasional. Model tersebut mengurangi kompleksitas sekaligus meningkatkan ketahanan.

Pencadangan gagal karena terekspos

Cadangan masih memainkan peran penting dalam pertahanan ransomware, tetapi hanya jika cadangan dirancang untuk tahan terhadap serangan aktif.

Kuncinya sederhana: Pencadangan gagal bukan karena hilang, melainkan karena terekspos.

Untuk memastikan pemulihan dalam lingkungan ancaman modern, organisasi harus memikirkan kembali arsitektur cadangan dengan keamanan sebagai intinya, mencakup kekekalan, isolasi, pemantauan, dan integrasi.

Bagaimanapun, cadangan Anda hanya sekuat kemampuannya untuk bertahan dari serangan tersebut.

Pengarang: Subramani Rao

Subramani Rao adalah Manajer Senior, Strategi Solusi Keamanan Siber di Acronis, yang fokus pada strategi solusi, penentuan posisi, dan inisiatif masuk ke pasar dalam bidang teknologi operasional, kelangsungan bisnis, dan perlindungan siber. Beliau memiliki lebih dari 15 tahun pengalaman keamanan siber di bidang strategi keamanan, risiko, kepatuhan, cloud, dan ketahanan, serta telah membantu organisasi menyelaraskan hasil keamanan dengan prioritas bisnis yang lebih luas. Beliau meraih gelar MBA Eksekutif dari London Business School, MSc di bidang Keamanan Komputer, dan bersertifikat CISSP.

Disponsori dan ditulis oleh Akronis.

Post Views: 1

Read Also

Exit mobile version