December 2024 - Extrahop Indonesia

Steve Dakhe tidak tahu apa yang harus diharapkan ketika menerima panggilan mendesak dari seorang pelanggan ExtraHop setelah latihan red team yang tidak terduga. Namun, Dakhe, seorang manajer keberhasilan pelanggan di ExtraHop, tidak perlu khawatir; pelanggan tersebut menelepon untuk menjelaskan seberapa baik platform network detection and response (NDR) ExtraHop RevealX berfungsi. Menurut direktur SOC pelanggan tersebut, RevealX berhasil mendeteksi lebih dari selusin taktik dan teknik yang digunakan oleh tim red team. “RevealX terlihat seperti pohon Natal,” katanya, menunjukkan bahwa platform tersebut dapat mendeteksi “semuanya”—mulai dari pemasangan command and control (C2) beacon, pergerakan lateral, hingga penggunaan teknik living off the land, dan banyak lagi. Hari Pertama Natal, Red Team Memberiku: Serangan Rekayasa Sosial Latihan red team dimulai dengan serangan rekayasa sosial untuk melewati keamanan email organisasi. Anggota red team, berpura-pura sebagai staf TI organisasi, menelepon karyawan dan meminta mereka menginstal perangkat lunak penguji kecepatan jaringan palsu. Beberapa karyawan terperdaya dan mengunduh malware yang disamarkan sebagai perangkat lunak penguji kecepatan ke komputer mereka. Malware di komputer karyawan—yang tidak terdeteksi oleh alat keamanan endpoint perusahaan—menggunakan PowerShell dan WMIC untuk memicu peluncuran jarak jauh Cobalt Strike beacon. RevealX segera mendeteksi aktivitas tersebut. Ketika Cobalt Strike beacon berhasil membangun koneksi command and control (C2), RevealX juga mendeteksinya tanpa ragu. 12 TTP di Natal Red Team Satu per satu, RevealX terus menyala, mengungkapkan berbagai tanda aktivitas berbahaya—sebagian besar hanya dapat dideteksi pada jaringan. Aktivitas ini termasuk enumeration, pergerakan lateral, upaya terhubung ke domain Active Directory organisasi, pemindaian RDP, sesi RDP jarak jauh, koneksi RDP baru ke pengontrol domain, upaya eksploitasi Shellshock HTTP, injeksi Log4Shell, upaya transfer zona DNS, agen pengguna mencurigakan, kueri wildcard LDAP, dan eksfiltrasi data. Seminggu setelah serangan rekayasa sosial, red team bekerja sama dengan pihak dalam perusahaan untuk memasang perangkat komputasi yang tidak sah ke jaringan. Melalui perangkat ini, mereka menggunakan alat GetUserSPNs.py untuk mencoba meluncurkan serangan Kerberoasting. Namun, RevealX memberikan peringatan kepada tim keamanan mengenai upaya tersebut. Meskipun memasang perangkat baru ke jaringan bukanlah pendekatan paling halus, red team umumnya berusaha tetap tidak terdeteksi. Banyak taktik yang mereka gunakan diklasifikasikan sebagai risiko sedang oleh RevealX dan platform keamanan lainnya. Sebagai contoh, aktivitas Kerberoasting mendapat skor risiko 65 pada skala 100 poin yang digunakan dalam deteksi RevealX, di mana 100 mewakili risiko tertinggi. Pemindaian ping, taktik lain yang sering digunakan oleh red team, mendapat skor 37 pada skala risiko. Pemindaian DNS internal reverse lookup juga bernilai 37. “Salah satu aktivitas, seperti transfer DNS, mungkin tampak tidak berbahaya, tetapi bersama dengan pemindaian ping dan upaya RDP, ini mulai menumpuk,” kata direktur SOC. “Jika Anda menggabungkannya, semuanya mulai terlihat serius.” RevealX: Hadiah untuk Tim Keamanan dan Malapetaka untuk Penyerang RevealX tidak hanya bekerja dengan sangat baik secara mandiri, tetapi juga terintegrasi dengan baik ke dalam infrastruktur keamanan organisasi lainnya, menurut direktur SOC. “RevealX adalah alat yang hebat untuk mendeteksi aktivitas pasca-kompromi,” ujarnya. “Alat ini memberi kami visibilitas jaringan dan deteksi yang kami butuhkan untuk melacak dan mencegah apa yang sedang dicoba dilakukan oleh red team.”

Meskipun lebih dari 20 tindakan penegakan hukum global telah menargetkan operasi ransomware tahun ini—termasuk tiga yang melumpuhkan kelompok ransomware LockBit yang sebelumnya dominan—tahun 2024 diprediksi akan menjadi tahun rekor baru untuk pemerasan siber. Berbagai metrik mendukung pandangan ini. Pertama, aliran pembayaran ransomware telah mencapai $459,8 juta pada pertengahan tahun, meningkat $10 juta dibandingkan dengan periode yang sama pada tahun 2023, menurut firma intelijen blockchain Chainalysis. Kedua, pembayaran ransomware median melonjak dari $198.939 pada awal 2023 menjadi $1,5 juta pada pertengahan 2024, menurut data dari Chainalysis. Fenomena ini menunjukkan bahwa meskipun ada tindakan penegakan hukum yang agresif terhadap kelompok ransomware, ancaman ini terus berkembang dan semakin merugikan korban dengan pembayaran yang semakin tinggi. Mengenai lonjakan drastis dalam pembayaran pemerasan rata-rata, Chainalysis menyatakan bahwa tren ini menunjukkan bahwa kelompok ransomware terkemuka “memprioritaskan target bisnis besar dan penyedia infrastruktur kritis yang mungkin lebih cenderung membayar tebusan tinggi.” Aktivitas penargetan yang dijelaskan oleh Chainalysis ini lebih umum dikenal dengan istilah cyber big game hunting (BGH), yaitu perburuan sasaran besar dalam dunia siber. Titik data ketiga yang menggambarkan karakteristik historis dari aktivitas ransomware 2024 adalah bahwa ini adalah pertama kalinya dalam sejarah industri global mengalami empat pembayaran tebusan dengan jumlah delapan digit dalam rentang waktu 12 bulan yang sama. Kejahatan big game hunting (BGH) ini termasuk pembayaran tebusan sebesar $75 juta yang luar biasa yang dipaksa oleh Tim Dark Angels pada bulan Februari. Memang, pembayaran oleh Dark Angels dan tiga pembayaran delapan digit lainnya adalah data outlier statistik yang mungkin memiliki dampak yang distorsi pada rata-rata pembayaran grup untuk mayoritas korban pemerasan siber. Namun demikian, dengan LockBit berada di ambang kehancuran, dan dengan rekan selevel aktor ancaman ALPHV (BlackCat) yang dibubarkan, terfragmentasi, dan disusun ulang di bawah berbagai spanduk ransomware-as-a-service (RaaS), para pembela tetap berada dalam status kewaspadaan tinggi. Ketika tahun 2024 hampir berakhir, satu pertanyaan kunci yang banyak dipertanyakan oleh praktisi keamanan adalah aktor ancaman mana yang akan muncul pada tahun 2025 untuk mengisi kekosongan yang ditinggalkan oleh predator siber puncak tahun-tahun sebelumnya? Menjawab pertanyaan ini menjadi rumit oleh transisi politik dramatis di AS setelah Pemilu 2024 pada bulan November dan konflik militer yang semakin meningkat di Eropa Timur dan Timur Tengah. Dalam upaya untuk memahami bagaimana intervensi penegakan hukum yang berlaku dan faktor geopolitik akan membentuk peringkat aktor ancaman pada tahun 2025, ExtraHop berkonsultasi dengan tiga ahli intelijen siber terkemuka untuk menyempurnakan perkiraan RaaS pada tahun yang akan datang. Prediksi Keamanan 2025: Tiga Kelompok Ancaman Teratas yang Harus Diwaspadai dalam Lanskap Ancaman Pasca-LockBit Menggabungkan prediksi dari para ahli intelijen siber dan riset eksklusif dari ExtraHop, kami memprediksi bahwa RansomHub, 8BASE, dan Cl0P akan menjadi tiga kelompok ancaman teratas yang perlu diwaspadai pada tahun 2025. Beberapa peristiwa penting yang telah mengganggu dan membentuk ulang lanskap ransomware antara lain penghancuran LockBit oleh penegak hukum internasional, pembubaran ALPHV, dan tuduhan resmi terkait hubungan tingkat tinggi antara LockBit dan sindikat kejahatan dunia maya Evil Corp yang terkenal, yang diajukan oleh National Crime Agency Inggris. Mengenai hal ini, DiMaggio mencatat bahwa “operasi ransomware LockBit akan menurun. Dengan dakwaan dan sanksi yang dijatuhkan pada 2024, kelompok ini kesulitan untuk mendapatkan pembayaran tebusan karena pembatasan sanksi yang menghalangi korban di AS untuk membayar kelompok tersebut.” Akibatnya, DiMaggio mengatakan LockBit “akan menjadi tidak relevan dan kemungkinan akan dibubarkan.” Meski begitu, pergerakan diaspora siber yang dipicu oleh penurunan LockBit dan pembubaran ALPHV paling mencolok mendukung kebangkitan RansomHub. Penggunaan RansomHub terhadap alat penghindaran EDR (Endpoint Detection and Response) yang sangat adaptif dan persisten, seperti EDRKillShifter, sangat memprihatinkan. Keberhasilan alat bypass EDR generasi berikutnya ini menunjukkan mengapa penerapan deteksi dan respons jaringan (NDR) menjadi penting untuk kerangka kerja keamanan perusahaan. Meskipun aktor ancaman canggih dapat menonaktifkan aplikasi EDR dan merusak log keamanan, data paket jaringan menawarkan sumber kebenaran yang tidak dapat diubah yang tidak dapat dihindari atau dinonaktifkan. 8BASE adalah kelompok ancaman lainnya yang harus diwaspadai pada tahun 2025. Setelah jeda singkat, kelompok ini muncul kembali secara agresif pada Oktober 2024, mengumumkan 13 korban baru di situs kebocoran data mereka. Korban yang paling menonjol baru-baru ini adalah produsen mobil Jerman besar. 8BASE “menggunakan cabang ransomware Phobos yang terkenal yang menghasilkan jutaan dari serangkaian perusahaan pemerintah dan infrastruktur kritis,” menurut The Register. Dari 25 operasi RaaS baru yang muncul pada 2023, 8BASE, bersama dengan Akira, adalah dua “pelaku” ransomware menonjol yang diidentifikasi oleh tim intelijen ancaman Unit 42 dari Palo Alto Networks. Akhirnya, dengan TTP (taktik, teknik, dan prosedur) yang berfokus pada eksfiltrasi data dan tidak terenkripsi, yang diperkirakan oleh DiMaggio akan mulai berkembang tahun depan, dan ramalan ancaman utama Bohuslavskiy serta kebocoran data terkait MOVEit yang baru-baru ini dipublikasikan di Breach Forums, ExtraHop menilai bahwa Cl0P sedang mempersiapkan kebangkitan besar pada tahun 2025. Ketika kelompok operator ransomware elit baru menyempurnakan rantai serangan mereka dengan alat pembunuh EDR generasi berikutnya dan menerapkan metode yang telah mapan untuk mengeksploitasi lingkungan Active Directory yang sulit diamankan, organisasi perlu memanfaatkan telemetri jaringan untuk melawan aktor ancaman. Meskipun pencegahan akses awal mungkin hampir mustahil, platform RevealX™ NDR dapat membantu pembela mengidentifikasi penyalahgunaan Active Directory dan sinyal serangan beban kerja cloud pada tahap-tahap paling awal.

Month: December 2024

RevealX “Terlihat Seperti Pohon Natal” dalam Latihan Red Team

Prediksi Keamanan 2025: Kelompok Ransomware Teratas yang Perlu Diperhatikan di Lanskap Ancaman Pasca-LockBit

PT iLogo Indonesia