Badan Uni Eropa untuk keamanan siber atau European Union Agency for Cybersecurity ENISA adalah lembaga Uni Eropa yang didedikasikan untuk mencapai tingkat keamanan siber yang tinggi di seluruh Eropa. Lembaga ini didirikan pada tahun 2004 dan diperkuat oleh EU Cybersecurity Act. ENISA juga berkontribusi pada kebijakan cyber UE; meningkatkan kepercayaan produk, layanan, dan proses ICT (Information and Communications Technology) dengan skema sertifikasi cybersecurity; bekerja sama dengan Negara Anggota dan badan UE; serta membantu Eropa mempersiapkan untuk tantangan dunia maya di masa depan. Dalam edisi kesembilannya, laporan ENISA Threat Landscape (ETL) ini disajikan untuk memberikan gambaran umum tentang ancaman keamanan siber di tahun 2021.
Table of Contents
TINJAUAN LANSKAP ANCAMAN SIBER
Serangan keamanan siber terus meningkat selama tahun 2020 dan 2021, tidak hanya dalam jumlahnya saja tetapi juga terkait total kerugian atau dampak yang ditimbulkannya. Pandemi Covid-19 juga diduga membawa dampak pada pada lanskap ancaman keamanan siber ini.
Seperti yang kita ketahui, pandemi telah membuat banyak perusahaan menerapkan sistem kerja hybrid sehingga ancaman keamanan siber terkait pandemi dan pemanfaatan situasi “new normal” menjadi tren utama. Secara general, ancaman keamanan siber terus meningkat karena didorong oleh kehadiran online yang terus berkembang, transisi infrastruktur tradisional ke solusi online dan berbasis cloud, interkonektivitas canggih, dan pengembangan fitur-fitur baru seperti Artificial Intelligence (AI).
ANCAMAN UTAMA
Serangkaian ancaman siber muncul selama tahun 2020 dan 2021. Berdasarkan analisis yang disajikan dalam laporan ini, ENISA Threat Landscape 2021 mengidentifikasi dan berfokus pada 8 kelompok ancaman utama sebagai berikut:
- Ransomware
- Malware
- Cryptojacking
- E-mail related threats
- Threats against data
- Threats against availability and integrity
- Disinformation – misinformation
- Non-malicious threats
TREN UTAMA
Berikut adalah beberapa daftar tren utama yang diamati terkait lanskap ancaman siber selama periode pelaporan:
- Supply chain yang sangat canggih dan berbahaya semakin menyebar.
- Covid-19 mendorong cyber espionage dan menciptakan peluang kejahatan bagi penjahat dunia maya.
- Organisasi pemerintah telah meningkatkan permainan mereka di tingkat nasional dan internasional. Peningkatan upaya telah dijalankan pemerintah untuk mengganggu dan mengambil tindakan hukum terhadap sponsored threat actors (aktor ancaman yang disponsori negara).
- Penjahat dunia maya semakin termotivasi untuk monetisasi aktivitas mereka, misalnya ransomware.
- Cryptocurrency tetap menjadi metode pembayaran paling umum yang digunakan oleh aktor ancaman.
- Serangan kejahatan dunia maya semakin menargetkan dan berdampak pada infrastruktur penting.
- Email phishing dan brute-forcing pada Remote Desktop Services (RDP) tetap menjadi dua vektor infeksi ransomware yang paling umum.
- Model bisnis jenis Ransomware as a Service (RaaS) telah meningkat selama tahun 2021.
- Skema triple extortion ransomware meningkat pesat selama tahun 2021.
- Pada tahun 2021, terjadi peningkatapelaku ancaman menggunakan bahasa pemrograman yang relatif baru atau tidak biasa untuk mem-porting kode mereka.
- Pengembang malware terus mencari cara untuk membuat reverse engineering dan analisis dinamis menjadi lebih sulit.
- Volume infeksi cryptojacking mencapai rekor tertinggi pada kuartal pertama tahun 2021, dibandingkan dengan beberapa tahun terakhir.
- Covid-19 masih menjadi daya tarik dominan dalam kampanye serangan email
- Serangan Business E-mail Compromise (BEC) telah meningkat, menjadi semakin canggih, dan menjadi lebih tepat sasaran.
- Phishing-as-a-Service (PhaaS) semakin populer.
- Terjadi lonjakan data breachers/pelanggaran data di sektor kesehatan.
- Serangan DDoS (Distributed Denial of Service) bergerak menuju jaringan seluler dan IoT (Internet of Things).
- Ransom Denial of Service (RDoS) adalah batas baru serangan penolakan layanan.
- Berbagi sumber daya di lingkungan virtual dapat memperkuat kemungkinan serangan DDoS.
- Phishing adalah jantung dari serangan disinformasi dan sangat mengeksploitasi kepercayaan orang.
- Misinformasi dan disinformasi merupakan inti dari aktivitas kejahatan dunia maya dan meningkat pada tingkatan yang belum pernah terjadi sebelumnya.
- Disinformation-as-a-Service (DaaS) telah tumbuh secara signifikan, didorong oleh meningkatnya dampak pandemi Covid-19 dan kebutuhan untuk memperoleh lebih banyak informasi.
TREN AKTOR/PELAKU ANCAMAN SIBER
Pelaku ancaman siber adalah entitas yang bertujuan untuk melakukan kejahatan dengan memanfaatkan kerentanan keamanan yang ada. Memahami bagaimana pelaku ancaman berpikir dan bertindak, serta mengetahui motivasi dan tujuan dari tindakan yang mereka lakukan merupakan langkah penting untuk meningkatkan sistem keamanan siber yang lebih kuat. Di dalam ETL 2021 ini, terdapat empat kategori aktor/pelaku ancamanan keamanan siber yang perlu dipertimbangkan sebagai berikut.
1. State-sponsored actors
Covid-19 telah mendorong serangan cyber espionage di dunia maya. Selama periode ETL 2021, ENISA mengamati kelompok-kelompok yang didukung negara/state-sponsored actors melakukan operasi spionase melalui metode social engineering dengan menggunakan umpan terkait Covid-19. Para pelaku ancaman ditugaskan untuk mencari informasi terkait upaya pemulihan dan pengembangan vaksin.
Menurut laporan yang tersedia untuk umum, aktor ancaman yang disponsori negara memiliki kemungkinan untuk mencari data tentang tingkat infeksi, tanggapan tingkat negara, dan perawatan. Selain itu, pengumpulan informasi ilmiah terkait vaksin Covid-19 merupakan kebutuhan yang sangat diprioritaskan sehingga sektor kesehatan, farmasi, dan penelitian medis banyak yang menjadi target sasaran.
Selain itu, berdasarkan analisis ENISA, setidaknya 17 kali antara tahun 2020 dan 2021, investigasi mengkonfirmasi bahwa serangan supply chain dilakukan oleh kelompok Advanced Persistent Threat (APT) yang sering kali disponsori oleh negara. Serangan software supply chain adalah jenis serangan rantai pasokan yang paling sering terjadi, sedangkan sektor layanan perangkat lunak menjadi sasaran yang paling ditargetkan. Dari sudut pandang penyerang, perangkat lunak yang ditargetkan biasanya memiliki karakteristik sebagai berikut:
- memiliki kemampuan komunikasi lintas jaringan,
- memiliki hak akses root/tingkat admin,
- sistem lintas platform/lintas operasi,
- sering masuk daftar putih, dan
- bertindak sebagai platform manajemen terpusat.
2. Cybercriminals
Selama pandemi, cybercriminals telah memanfaatkan minat, perhatian, rasa ingin tahu, dan ketakutan orang-orang dengan menggunakan umpan phishing terkait Covid-19 untuk mendapatkan keuntungan finansial. Berikut adalah beberapa trik yang digunakan oleh para cybercriminals untuk menipu target:
- Peniruan identitas badan medis, termasuk World Health Organisation (WHO) dan US Centre for Disease Control and Prevention
- Pemberian bantuan keuangan dan paket stimulus dari pemerintah
- Serangan terhadap karyawan yang bekerja dari rumah
- Penipuan yang menawarkan alat pelindung diri
- Phishing dengan iming-iming terkait Covid-19 misalnya pengiriman, faktur, dan pesanan pembelian
- Umpan terkait vaksinasi
- Umpan phishing terkait varian baru Covid-19
ENISA juga menyebutkan bahwa selama pandemi, perusahaan dipaksa untuk mengubah strategi mereka dan dengan cepat mengadopsi teknologi yang akan mendukung sistem kerja jarak jauh (remote working). Kondisi ini memungkinkan cybercriminal untuk mengambil keuntungan dari penyebaran teknologi teleworking dan mengeksploitasinya. Teknologi yang banyak menjadi sasaran cybercriminal adalah peralatan jaringan dan layanan akses jarak jauh terutama layanan Virtual Private Network, Citrix, dan RDP services.
Perlu diketahui, cybercriminals melakukan sejumlah serangan untuk mendapatkan keuntungan finansial. Managed service providers (MSP) juga menjadi target cybercriminals yang bernilai tinggi karena layanan tersebut juga memungkinkan peretas untuk menargetkan klien penyedia MSP juga.
Selama periode pelaporan ini diketahui kompleksitas serangan ransomware meningkat lebih dari 150% pada tahun 2020 dan menjadi salah satu ancaman terbesar yang dihadapi perusahaan terlepas dari sektornya. ENISA juga menjelaskan bahwa taktik yang digunakan cybercriminal dalam menggunakan serangan ransomware untuk menekan korban dan memaksa mereka untuk membayar uang tebusan telah berkembang. Pada akhir 2019, kelompok Maze mendemonstrasikan teknik pemerasan ganda yaitu
- sistem dan data organisasi dienkripsi dan tebusan diminta
- data sensitif organisasi dieksfiltrasi dan operator Maze mengancam akan mempublikasikan data yang dieksfiltrasi tersebut di “public shaming websites” sebagai ancaman ekstra untuk menuntut pembayaran tebusan yang lebih.
Bahkan saat ini cybercriminals telah meningkatkan kerjasama dan profesionalisasi. Perlu diketahui terdapat tren “Cybercrime-as-a-Service” yang hadir untuk mengurangi hambatan para peretas yang ingin melakukan kejahatan siber. Berbagai jenis layanan yang ditawarkan adalah sebagai berikut:
- Layanan utama: broker akses, kit phishing, layanan pengujian kartu kredit/debit, layanan pengemasan malware, web inject kits, perangkat keras untuk dijual, ransomware, loaders, hosting dan infrastruktur (anti peluru), alat serangan DDoS, anonimitas dan enkripsi, crime-as-a-service, counter antivirus service/checkers, perekrutan untuk kelompok kriminal;
- Layanan distribusi: spam jejaring sosial dan pesan instan, pengembangan kit eksploitasi, distribusi email spam, lalu lintas pembelian dan/atau traffic distribution systems (TDS);
- Layanan monetisasi: layanan money bag dan cashing, reshipping fraud networks, dump shop, pengumpulan dan penjualan informasi kartu pembayaran, pencucian uang, pembayaran tebusan dan pemerasan, layanan wire fraud cryptocurrency
3. Hacker for Hire Actors
Munculnya Hacker for Hire Actors atau layanan peretas untuk disewa. Kategori pelaku ancaman ini mengacu pada pelaku dalam pasar “Access-as-a-Service” (AaaS) yang sebagian besar terdiri dari perusahaan yang menawarkan kemampuan siber ofensif. Klien mereka biasanya pemerintah (tetapi juga bisa perusahaan dan individu) dan kategori layanan yang mereka tawarkan biasanya digabungkan menjadi satu layanan seperti Vulnerability Research and Exploitation, Malware Payload Development, Technical Command and Control, Operational Management, dan Training and Support.
Perusahaan penyedia hacker for hire bekerja secara legal di negara mereka dan secara umum pasar utamanya adalah semi regulated market (industri kecil-menengah). Klien dari perusahaan-perusahaan ini membayar mereka sebagian besar untuk melakukan operasi spionase cyber, mendapatkan akses ke kemampuan cyber ofensif tingkat lanjut dan menikmati plausible deniability.
4. Hacktivists
ENISA mengamati bahwa setelah 2016, terdapat penurunan dalam hacktivism setelah puncaknya terjadi pada periode 2010-2015. Saat ini, hacktivists kebanyakan bertindak dalam kelompok kecil untuk memprotes peristiwa regional dan menargetkan organisasi tertentu. Target utama mereka masih tetap sama yaitu lembaga keuangan dan lembaga pemerintah.
Terkait metode yang digunakan dalam melakukan serangan siber, hacktivists masih menggunakan taktik “old school” seperti DDoS, defacements, pelepasan data sensitif, dan pengambilalihan akun. Selama periode pelaporan, ENISA menemukan bahwa frekuensi operasi hacktivists cukup rendah dan tidak memiliki dampak seperti yang telah timbulkan di masa lalu. Hal tersebut kemungkinan besar terjadi karena kecanggihan yang terbatas dari operasi dan sumber daya yang mereka miliki, dan di sisi lain kontrol keamanan organisasi target sudah semakin ditingkatkan.
Baca Lebih Lanjut: Rangkuman ENISA Threat Landscape 2021 (Kelompok Ancaman Utama ) Part 2
LOGIQUE Digital Indonesia menyediakan layanan penetration testing untuk meningkatkan sistem keamanan website ataupun aplikasi seluler. Silakan hubungi kami dan segera tingkatkan sistem keamanan siber di perusahaan Anda.