Di artikel sebelumnya (Rangkuman Laporan ENISA Threat Landscape 2021 Part 1), kami telah memberikan sedikit gambaran terkait laporan yang disediakan oleh European Union Agency for Cybersecurity ENISA terkait ancaman siber di tahun 2020-2021. Jika Anda ingin mengetahui informasi umum terkait jenis-jenis ancaman utama, tren, serta aktor/pelaku ancaman siber yang dilaporkan, silakan periksa artikel part 1 yang sudah kami sediakan.
Selanjutnya, di bagian ini kami akan memberikan penjelasan lebih mendalam mengenai tren ancaman utama serta rekomendasi untuk menanganinya. Berikut kami sajikan informasinya untuk Anda.
Table of Contents
ANCAMAN UTAMA
1. RANSOMWARE
Ransomware adalah jenis serangan berbahaya di mana penyerang mengenkripsi data organisasi dan meminta pembayaran untuk memulihkan akses. Dalam beberapa kasus, penyerang juga dapat mencuri informasi organisasi dan meminta pembayaran tambahan sebagai imbalan karena tidak mengungkapkan informasi tersebut kepada pihak berwenang, pesaing, atau publik.
TREN
ENISA melihat bahwa email phishing dan brute-forcing di Remote Desktop Protocol (RDP) services menjadi 2 vektor infeksi paling umum. Selama periode pelaporan di tahun 2021, ENISA juga melihat bahwa pelaku ancaman yang mendominasi pasar ransomware adalah Conti dan REvil. Kedua pelaku menyediakan platform Ransomware-as-a-service (RaaS) di mana afiliasi dapat mengatur serangan secara efisien.
Beberapa serangan ransomware juga dilaporkan selama periode pelaporan ETL 2021. Gambar berikut menunjukkan insiden yang diamati berdasarkan OSINT (Open Source Intelligence) yang dikumpulkan oleh ENISA.
Insiden Ransomware yang diamati oleh ENISA (April 2020-Juli 2021):
Tren ransomware lain yang perlu Anda ketahui adalah peningkatan jumlah uang tebusan yang diminta oleh pelaku ancaman. Jika perusahaan ingin membayar, negosiasi diadakan dan biasanya hanya sebagian dari jumlah awal yang dibayarkan. Rata-rata jumlah uang tebusan yang diminta meningkat berlipat ganda. Hanya dalam beberapa bulan saja, permintaan tertinggi di tahun 2020 menjadi meningkat sebesar lebih dari dua kali lipat di tahun 2021. Untuk menerima pembayaran uang tebusan, selama beberapa tahun cryptocurrency seperti Bitcoin lebih disukai oleh pelaku ancaman dunia maya.
Di dalam ETL 2021 disebutkan bahwa terdapat sebuah penelitian yang menunjukkan bahwa pada tahun 2019, rata-rata uang tebusan yang dibayarkan adalah sekitar $80.000. Pada tahun 2020, angkat tersebut meningkat sebanyak lebih dari dua kali lipat menjadi rata-rata $170.000. Kemudian menurut penelitian yang sama, rata-rata pada Q1 dan Q2 2021 uang tebusan yang dibayarkan adalah sekitar $180.000. Penelitian lain juga menemukan bahwa rata-rata uang tebusan meningkat dari $115.123 pada 2019 menjadi $312,493 pada 2020.
Permintaan ransomware tertinggi tumbuh dari $15 juta pada tahun 2019 menjadi $30 juta pada tahun 2020. Sejak penelitian ini, REvil telah meningkatkan permainannya dengan menuntut $50 juta dari Acer pada Maret 2021. Sebulan kemudian, pada bulan April, kelompok ransomware meminta jumlah yang sama dari Quanta Computer, pemasok ke Apple. Pada Juli 2021, setelah Kaseya terkena serangan, mereka menuntut tebusan $70 juta untuk menerbitkan universal decryptor untuk membuka kunci setiap perangkat yang terpengaruh. Hanya dalam beberapa bulan, permintaan tertinggi tahun 2020 meningkat lebih dari dua kali lipat pada tahun 2021. Kemungkinan kita akan mencapai batas permintaan tebusan $100 juta pada tahun 2022.
Selain itu, ENISA juga menemukan tren serangan yang lebih rumit yaitu dengan perekrutan karyawan untuk membantu selama menjalankan serangan ransomware. Pada Agustus 2020, seorang warga negara Rusia dihukum karena secara aktif menargetkan dan merekrut seorang karyawan di Tesla. Karyawan tersebut perlu mengeksekusi malware di sistem komputer perusahaannya, yang akan mengekstrak data dari jaringan perusahaan. Dia kemudian akan mengancam untuk mengungkapkan data secara online kecuali perusahaan membayar permintaan tebusan.
REKOMENDASI
Berikut rekomendasi yang diusulkan untuk pencegahan dan respons yang perlu dilakukan terhadap serangan ransomware:
- Implementasi strategi backup yang aman dan berulang.
- Implementasi dan audit manajemen identitas dan akses (Identity Access Management/IAM).
- Pelatihan dan peningkatan kesadaran pengguna.
- Pemisahan lingkungan pengembangan dan produksi.
- Information sharing tentang insiden dengan pihak berwenang & industri.
- Membatasi akses ke situs ransomware yang diketahui.
- Identitas dan kredensial harus dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang diizinkan.
- Izin akses dan otorisasi harus dikelola, dan menggabungkan prinsip-prinsip hak istimewa paling rendah dan Separation of duties (SoD).
- Respons ransomware dan rencana pemulihan harus diuji secara berkala untuk memastikan bahwa asumsi, proses, risiko dan respons masih berlaku dengan ancaman ransomware yang berkembang.
- Penggunaan produk atau layanan keamanan untuk memblokir akses ke situs ransomware yang diketahui.
- Menjalankan Ransomware Readiness Assessment (RRA).
- Laporkan setiap serangan atau percobaan serangan kepada pihak berwenang dan batasi penyebarannya.
- Pemantauan sistem untuk identifikasi infeksi dengan cepat.
- Mengikuti tren dan perkembangan ransomware terbaru sebagai salah satu tindakan pencegahan.
Baca Juga: Ransomware WannaCry : Mengingat Salah Satu Serangan Siber Terburuk
2. MALWARE
Malware adalah istilah umum yang menjelaskan perangkat lunak, firmware, atau kode apa pun yang dimaksudkan untuk melakukan proses tidak sah yang berbahaya dan berdampak buruk pada kerahasiaan, integritas, atau ketersediaan sistem. Contoh malware bisa berupa virus, worm, Trojan horse, atau entitas berbasis kode lainnya yang menginfeksi host. Spyware dan beberapa bentuk adware juga merupakan bagian dari malware.
TREN
Pada tahun 2021, penurunan infeksi malware terus berlanjut. Penelitian menunjukkan penurunan sebesar 22% selama enam bulan pertama tahun 2021, dibandingkan periode ini tahun lalu. Perlu diperhatikan bahwa pengurangan total volume malware tidak berarti bahwa kejahatan dunia maya menurun. Di masa lalu, malware digunakan untuk menginfeksi korban secara maksimal. Sedangkan saat ini fokusnya tidak lagi pada kuantitas namun lebih pada kualitas infeksi.
Untuk tahun 2020, kategori malware yang paling banyak terdeteksi di lingkungan perusahaan adalah botnets (28%), cryptominers (21%), infostealers (16%), mobile (15%), banking (14%), and ransomware (4%). Pada Juni 2021, kelompok malware yang paling umum terdeteksi adalah rickbot (botnet and banking), XMRig (cryptominer), Formbook (infostealer), Glupteba (botnet), dan Agent Tesla (infostealer).
Tren malware yang disebutkan pada ETL 2021 juga menunjukkan bahwa penargetan malware di container environments telah menjadi jauh lebih umum. Teknologi kontainerisasi memungkinkan penskalaan dengan mudah. Tujuan paling umum dari jenis malware ini adalah untuk melarikan diri dari kontainer dan menginfeksi seluruh cluster. Kemudian untuk dampak umum yang ditimbulkan adalah kebocoran informasi sensitif seperti kata sandi, nomor kartu kredit, dll.
Pada tahun 2020, pemblokir iklan palsu atau dikenal dengan istilah adware juga meningkat di perangkat Android. Jenis aplikasi berbahaya ini menipu pengguna dengan iming-iming kemampuan “tambah pemblokiran”, kemudian adware akan meminta izin ekstensif pada sistem operasi, dan mulai menggunakan segala jenis notifikasi dan pengalihan browser untuk menampilkan iklan jahat. Dengan cara ini adware dapat menghasilkan keuntungan bagi pembuatnya.
Varian yang mirip dengan adware juga ditemukan yaitu malware seluler hiddenAds. Pada tahun 2020, deteksi jenis malware ini meningkat dari 280.000 menjadi 700.000 dibandingkan dengan 2019. Proporsi besar adware dalam malware seluler berlanjut sepanjang tahun 2021. Sebanyak 45% malware seluler diidentifikasi sebagai adware pada paruh pertama tahun 2021.
Malware perbankan seluler juga mengalami peningkatan pada tahun 2020. Malware ini mencoba mencuri kredensial perbankan online dan informasi pembayaran dengan menampilkan layar login palsu. Aplikasi perbankan berbahaya yang paling umum pada tahun 2021 termasuk Ghimob, Eventbot, dan Thiefbot. Malware umum lainnya adalah Blackrock, Wroba, dan TrickMO.
Perlu diketahui, pengembang malware saat ini menggunakan bahasa pemrograman yang relatif baru atau tidak umum. Meskipun tidak sepenuhnya baru, tren ini terus berkembang sepanjang tahun 2020 dan 2021. Bahasa yang tidak umum ini termasuk tetapi tidak terbatas pada Rust, Nim, Dlang, dan Go. Motif utamanya adalah untuk mem-bypass kemampuan deteksi.
REKOMENDASI
- Mengimplementasikan pendeteksian malware di semua saluran seperti email, jaringan, web, dan sistem aplikasi di semua platform yang berlaku (yaitu server, infrastruktur jaringan, komputer pribadi, dan perangkat seluler)
- Memeriksa lalu lintas SSL/TLS yang memungkinkan firewall mendeskripsi apa yang sedang dikirim ke dan dari situs web, komunikasi email, dan aplikasi seluler.
- Mengembangkan kebijakan keamanan yang menentukan proses yang harus diikuti jika terjadi infeksi.
- Memahami kemampuan berbagai alat keamanan dan mengembangkan solusi keamanan baru.
- Gunakan pemfilteran email (atau pemfilteran spam) untuk email berbahaya dan hapus lampiran yang dapat dieksekusi.
- Secara teratur memantau hasil tes antivirus.
- Menggunakan patch management untuk container infrastructure.
- Memanfaatkan log monitoring menggunakan solusi security incident and event management (SIEM)
- Nonaktifkan atau kurangi akses ke PowerShell functions.
Baca Juga: 4 Jenis Malware yang Dapat Mengancam Situs Web Anda
3. CRYPTOJACKING
Cryptojacking atau hidden cryptomining adalah jenis kejahatan siber di mana penjahat diam-diam menggunakan kekuatan komputasi korban untuk menghasilkan cryptocurrency. Serangan dunia maya ini biasanya terjadi ketika korban tanpa disadari menginstal program dengan skrip berbahaya yang memungkinkan penjahat dunia maya mengakses komputer mereka atau perangkat lain yang terhubung ke internet, misalnya dengan mengklik tautan yang tidak dikenal dalam email atau mengunjungi situs web yang terinfeksi. Program yang disebut “penambang koin” kemudian digunakan oleh penjahat untuk membuat atau ‘menambang’ cryptocurrency.
TREN
Pada kuartal pertama tahun 2021, volume infeksi cryptojacking mencapai rekor tertinggi dibandingkan dengan beberapa tahun terakhir. Statistik menunjukkan bahwa selama kuartal pertama tahun 2021, infeksi meningkat sebesar 117%. Di dalam ETL 2021 juga dijelaskan bahwa pada tahun 2020, pasar global malware cryptomining didominasi oleh XMRig (35%), JSECoin (27%), Lucifer (7%), WannaMine (6%), RubyMiner (5%), dan lainnya (20%).
Perlu diketahui bahwa teknik yang digunakan untuk menyebarkan cryptominers tidak jauh berbeda dari metode infeksi malware lainnya. Pengunduhan drive-by adalah teknik yang umum digunakan untuk mengirim dan menginstal file berbahaya di perangkat korban tanpa sepengetahuannya. Hal ini terjadi secara pasif saat korban mengunjungi situs web berbahaya dan memicu unduhan file yang memanfaatkan sistem operasi atau browser web yang mengandung kerentanan keamanan di dalamnya.
ETL 2021 menjelaskan bahwa selama periode pelaporan terdapat beberapa insiden terkait kasus Cryptojacking. Beberapa di antaranya yaitu pada Mei 2021, di Inggris Raya, penegak hukum menghentikan operasi penambangan kripto, dan peralatan disita dengan tuduhan pencurian listrik. Kemudian pada bulan Mei, China memutuskan untuk melarang lembaga keuangan dan perusahaan pembayaran menyediakan layanan yang terkait dengan transaksi cryptocurrency. Larangan awal menargetkan tiga provinsi yang menurut penelitian menyumbang lebih dari 65% Bitcoin hash rate.
REKOMENDASI
- Pantau penggunaan baterai pada perangkat pengguna dan jika terjadi lonjakan penggunaan CPU yang mencurigakan maka lakukan pindai keberadaan file-based miners.
- Menerapkan penyaringan web protokol cryptomining umum, serta memasukkan alamat IP dan domain dari kumpulan IP cryptomining populer.
- Memantau anomali jaringan dan protokol penambangan blok.
- Instal perlindungan endpoint melalui program anti-virus atau plug-in browser pemblokiran crypto-miner.
- Melakukan audit keamanan secara berkala untuk mendeteksi anomali jaringan.
- Menggunakan patch management melindungi dari ancaman dan kerentanan yang muncul.
- Memantau dan memblokir executable cryptomining umum.
- Meningkatkan kesadaran pengguna tentang cryptojacking, terutama yang berkaitan dengan perilaku browsing yang aman.
Baca Juga: 3 Cara yang Dapat Anda Lakukan untuk Mengenali Email Phishing
4. E-MAIL RELATED THREATS
E-mail related threats atau ancaman terkait email secara konsisten menempati peringkat tinggi dalam daftar ancaman utama selama beberapa tahun. Kumpulan ancaman ini mengeksploitasi kelemahan perilaku manusia terkait email dan kebiasaan manusia untuk memanipulasi manusia agar menjadi korban serangan.
TREN
Secara umum, Covid-19 dimanfaatkan oleh musuh untuk mengelabui pengguna akhir agar menjadi korban berbagai jenis serangan terkait email. ENISA menemukan bahwa tiga perempat lampiran dalam email berisi infostealer yaitu sejenis malware yang mencuri informasi sensitif (seperti kata sandi atau kredensial lainnya).
ENISA juga mengemukakan adanya tren di mana beberapa kampanye phishing dilakukan untuk mencuri nomor kartu kredit korban dengan mengirimkan email phishing. Email tersebut mencoba mengarahkan pengguna ke situs web phishing yang bisa menangkap informasi kredit mereka. Upaya serangan phising ini telah mempengaruhi setidaknya 26 negara. Pada tahun 2021, layanan pengiriman pesan juga digunakan untuk mengirim spam SMS besar-besaran untuk menyebarkan malware Flubot Android di seluruh Eropa.
Selain itu, tren pemanfaatan kode QR juga marak terjadi. Seperti yang kita tahu, ketika pandemi orang-orang menerapkan social distancing sehingga penggunaan kode QR menjadi semakin populer. Peretas memanfaatkan hal tersebut karena mengidentifikasi pesan QR palsu tidak mudah dilakukan oleh orang awam. Taktik yang diamati adalah peretas menyematkan kode QR palsu ke dalam email phishing yang terlihat seperti dikirim oleh bank-bank besar Eropa. Setelah memindai kode palsu tersebut, pengguna diarahkan ke situs web dengan halaman arahan yang tampak realistis, kemudian korban diminta untuk masuk dan memperbarui kartu kredit mereka.
Kemudian, taktik BEC atau business e-mail compromise telah meningkat dengan sistem yang lebih canggih dan menjadi lebih tepat sasaran. Menurut laporan yang tersedia untuk umum, BEC adalah jenis kejahatan dunia maya paling mahal pada tahun 2020 di mana organisasi melaporkan kerugian total lebih dari 1,8 miliar dolar. Selama periode pelaporan, diamati bahwa skema BEC telah berkembang, terutama mengenai phishing kredensial dan konversi uang menjadi cryptocurrency.Seperti yang dilaporkan Negara Anggota UE, ada banyak kasus di mana akun Office 365 telah digunakan untuk penipuan BEC. Ini menyiratkan bahwa para pelaku juga telah melakukan operasi phishing kredensial atau serangan password spraying (teknik yang mirip dengan serangan brute force) terhadap para korban.
SMShing dan Vishing (praktik penipuan melakukan panggilan telepon ) juga meningkat karena pengguna tidak memiliki kesadaran tentang cyber security. ETL 2021 menyebutkan beberapa contoh seperti serangan yang menargetkan lawan politik dengan menggunakan teknik baru yaitu penggunaan perangkat lunak pengubah suara untuk menyamar sebagai perempuan. Saat percakapan berlanjut, pelaku ancaman kemudian mulai mengirim video yang dimuat dengan malware untuk menginfeksi sistem target. Sementara contoh SMShing seperti pengiriman pesan SMS yang menyamar sebagai peringatan keamanan Google.
Phishing-as-a-Service (PhaaS) juga menjadi tren dalam e-mail related threats. Mirip dengan ransomware-as-a-service (RaaS), phishing-as-a-service mengikuti model di mana penyerang membayar operator untuk mengembangkan dan menyebarkan kampanye phishing mulai dari pengembangan halaman masuk palsu, hosting situs web, dan penguraian dan redistribusi kredensial.
REKOMENDASI
- Berikan pelatihan secara teratur pada pengguna tentang cara mengidentifikasi tautan dan lampiran yang mencurigakan dan cara melaporkannya.
- Menerapkan filter spam di gateway email dan terus memperbarui aturan. Jika memungkinkan, gunakan gateway email yang aman dengan pemeliharaan filter otomatis (anti-spam, anti-malware, policy-based filtering).
- Pasang kontrol keamanan pada gateway email untuk mengurangi frekuensi atau kemungkinan umpan masuk ke kotak masuk karyawan Anda.
- Pastikan email yang berasal dari luar organisasi secara otomatis ditandai sebelum diterima.
- Menerapkan Multi Factor authentication (MFA).
- Periksa umur dan info kepemilikan domain yang dicurigai berbahaya. Jika aktif selama kurang dari setahun, bisa jadi itu bagian dari scam.
- Bila memungkinkan, untuk transaksi keuangan penting atau saat bertukar informasi sensitif, terapkan komunikasi email yang aman dengan menggunakan tanda tangan digital atau enkripsi.
- Bila memungkinkan, terapkan deteksi penipuan dan anomali di tingkat jaringan baik untuk inbound maupun outbound email.
- Jangan mengklik tautan atau mengunduh lampiran jika Anda tidak sepenuhnya yakin dengan pengirim email.
- Periksa nama domain situs web yang Anda kunjungi terutama untuk situs web sensitif (misalnya situs web bank). Web palsu biasanya memiliki domain yang terlihat sangat mirip dengan web asli.
- Gunakan kata sandi yang kuat dan unik untuk setiap layanan online. Menggunakan kata sandi yang sama untuk berbagai layanan adalah masalah keamanan yang serius dan harus selalu dihindari.
- Hindari menanggapi tautan yang diterima dalam email atau pesan SMS oleh pengirim yang tidak dikenal dan yang terpenting, jangan memasukkan kredensial Anda ke dalamnya.
Baca Lebih Lanjut: Rangkuman ENISA Threat Landscape 2021 (Kelompok Ancaman Utama ) Part 3
LOGIQUE Digital Indonesia menyediakan jasa penetration testing untuk meningkatkan sistem keamanan siber di perusahaan Anda. Kami dapat melakukan sejumlah pengujian sehingga kerentanan keamanan dapat segera ditemukan dan dilakukan penambalan. Silakan hubungi kami untuk mendapatkan penjelasan lebih lanjut.