Category: Uncategorized

Meskipun lebih dari 20 tindakan penegakan hukum global yang menargetkan operasi ransomware tahun ini—termasuk tiga yang melumpuhkan kelompok LockBit yang sebelumnya dominan—tahun 2024 diperkirakan akan menjadi tahun yang memecahkan rekor lainnya untuk pemerasan siber. Berbagai metrik mendukung pandangan ini. Pertama, aliran pembayaran ransomware telah mencatatkan angka yang belum pernah terjadi sebelumnya, yaitu $459,8 juta pada pertengahan tahun, meningkat $10 juta dari periode yang sama pada tahun 2023, menurut firma intelijen blockchain Chainalysis. Kedua, pembayaran ransomware median melonjak dari $198.939 pada awal 2023 menjadi $1,5 juta pada pertengahan 2024, berdasarkan data dari Chainalysis. Terkait lonjakan tajam dalam pembayaran pemerasan rata-rata, Chainalysis mengatakan bahwa tren ini menunjukkan bahwa “strain” ransomware terkemuka kini memprioritaskan penargetan bisnis besar dan penyedia infrastruktur kritis yang mungkin lebih cenderung membayar tebusan tinggi. Aktivitas penargetan yang dijelaskan oleh Chainalysis ini lebih umum dikenal sebagai perburuan game besar siber (Cyber Big Game Hunting, BGH). Titik data ketiga yang menunjukkan sifat historis aktivitas ransomware pada 2024 adalah bahwa ini adalah tahun pertama dalam sejarah di mana industri global menderita empat pembayaran tebusan dengan angka delapan digit dalam rentang 12 bulan yang sama. Spree kejahatan BGH ini termasuk pembayaran luar biasa sebesar $75 juta yang dipaksakan oleh Dark Angels Team pada bulan Februari. Meskipun pembayaran Dark Angels dan tiga pembayaran delapan digit lainnya adalah penyimpangan statistik yang dapat memiliki dampak yang mengganggu terhadap rata-rata pembayaran kelompok untuk sebagian besar korban pemerasan siber. Namun, dengan LockBit yang sedang terpuruk, dan dengan rekan ancaman setara mereka ALPHV (BlackCat) yang dibubarkan, terpecah, dan diorganisasi kembali di bawah berbagai spanduk ransomware-as-a-service (RaaS), para pembela tetap waspada. Menjelang akhir 2024, satu pertanyaan kunci yang dipertanyakan oleh banyak praktisi keamanan adalah aktor ancaman mana yang akan mengisi kekosongan yang ditinggalkan oleh predator siber puncak tahun-tahun sebelumnya pada 2025? Menjawab pertanyaan ini telah dipersulit oleh transisi politik dramatis di AS setelah Pemilu Umum 2024 pada bulan November dan konflik militer yang cepat meningkat di Eropa Timur dan Timur Tengah. Untuk menyelidiki bagaimana intervensi penegakan hukum yang berlaku dan faktor geopolitik akan membentuk peringkat aktor ancaman pada 2025, ExtraHop berkonsultasi dengan tiga ahli intelijen siber terkemuka untuk menyempurnakan ramalan RaaS royalty mereka untuk tahun yang akan datang. Pandangan DiMaggio Melihat ke depan pada tahun 2025, Jon DiMaggio, seorang veteran Badan Keamanan Nasional (NSA) dan ahli intelijen manusia (HUMINT) yang terkenal karena penyusupan ala Donnie Brasco ke dalam sindikat RaaS LockBit untuk mendukung penghancuran Cronos, mengatakan bahwa RansomHub dan Cicada3301 akan menjadi “kelompok ransomware utama yang perlu diperhatikan” tahun depan. DiMaggio mencatat bahwa kedua kelompok tersebut meluncurkan operasi RaaS mereka pada tahun 2024, berhasil merekrut beberapa tim afiliasi berpengalaman dan tingkat tinggi untuk mendukung upaya pemerasan mereka. “Yang menarik, kedua kelompok ini memiliki hubungan dengan BlackCat/ALPHV, dengan afiliasi manusia yang tumpang tindih dan kesamaan kode dalam muatan ransomware mereka,” kata DiMaggio. DiMaggio menjelaskan bahwa individu di balik operasi RaaS ini adalah “pemain berpengalaman di dunia ransomware dengan hubungan yang kuat dengan komunitas kriminal Rusia.” Dia juga mencatat bahwa RansomHub menarik banyak afiliasi BlackCat setelah kelompok tersebut dibubarkan awal tahun ini. Untuk merangkum pembubaran profil tinggi mereka, BlackCat diduga telah menipu ‘Notchy’, afiliasi yang membobol Change Healthcare, dengan tidak membayar uang tebusan $22 juta yang dia peroleh dari perusahaan penagihan medis tersebut tepat sebelum geng tersebut menutup operasinya dan menjual kode sumber mereka seharga $5 juta USD. Pada 16 November 2024, RansomHub telah mengklaim korban pemerasan siber terbanyak kedua pada 2024, mencatatkan 434 organisasi di situs kebocoran data mereka (DLS), menurut pelacak ransomware DarkFeed. Angka ini hanya kalah dari LockBit, yang mengklaim 545 korban tahun ini, dan yang kini hanya menjadi bayangan dari apa yang dulu menjadi kelompok ancaman tersebut. Selain itu, banyak anggota kolektif Scattered Spider yang ahli dalam penggunaan cloud telah diamati menggunakan strain RansomHub, meskipun ada keluhan tentang kualitas locker oleh anggota dunia bawah siber. Menariknya, RansomHub juga baru-baru ini diamati menggunakan alat bypass deteksi dan respons endpoint (EDR) canggih bernama EDRKillShifter. Menurut TrendMicro, “EDRKillShifter dirancang untuk mengeksploitasi driver yang rentan, merusak efektivitas solusi EDR dengan menggunakan teknik untuk menghindari deteksi dan mengganggu proses pemantauan keamanan.” Selain itu, TrendMicro mengatakan bahwa “EDRKillShifter meningkatkan mekanisme ketahanan dengan menggunakan teknik yang memastikan kehadirannya yang terus-menerus dalam sistem, bahkan setelah kompromi awal ditemukan dan dibersihkan.” Kit bypass berbahaya ini “mengganggu proses keamanan secara dinamis dalam waktu nyata dan menyesuaikan metodenya saat kemampuan deteksi berkembang, tetap selangkah lebih maju dari alat EDR tradisional,” menurut TrendMicro. Sementara itu, DiMaggio mengatakan bahwa Cicada3301 “sepertinya telah merekrut mantan pengembang ransomware LockBit dan BlackMatter (kemudian berganti nama menjadi BlackCat) untuk mendukung perusahaan kriminal mereka.” Menariknya, Cicada3301 tampaknya mengambil namanya dari teka-teki online terkenal yang menarik perhatian para penyelidik internet di seluruh dunia setelah diposting di forum 4Chan pada tahun 2012. Terkait desain malware Cicada3301, peneliti dari IBM X-Force threat intelligence mencatat bahwa varian ini, seperti BlackCat, ditulis dalam Rust. Ketika membicarakan pengkodean malware, keuntungan utama dari mengoperasionalkan basis kode yang relatif baru seperti Rust dibandingkan bahasa pemrograman lama seperti C atau C++ adalah kemampuan Rust untuk menghindari “analisis statis dari sebagian besar sistem deteksi malware,” menurut Security Intelligence. Dengan memanfaatkan basis kode malware yang tidak begitu banyak digunakan seperti C++, aktor ancaman dapat lebih baik menghindari penemuan oleh tanda tangan statis yang digunakan oleh solusi deteksi dan respons endpoint (EDR) serta antivirus (AV) untuk mencocokkan indikator aktivitas jahat yang sebelumnya terindeks. Selain itu, Rust dilengkapi dengan kontrol keamanan built-in yang kuat, yang membuat rekayasa balik varian malware yang ditulis dalam bahasa ini jauh lebih sulit bagi pemburu ancaman. Selain itu, malware Cicada3301, seperti BlackCat, “memiliki antarmuka konfigurasi parameter yang terdefinisi dengan baik, mendaftarkan penangan pengecualian vektor, dan menggunakan metode serupa untuk penghapusan salinan bayangan dan manipulasi,” menurut laporan yang ditulis oleh perusahaan keamanan Morphisec. Atribut-atribut ini membuat varian Cicada3301 lebih dapat disesuaikan, kurang rentan terhadap deteksi dan gangguan operasional oleh kontrol keamanan, dan lebih licik dalam membatalkan setiap skema pemulihan data korban yang mungkin diaktifkan oleh salinan bayangan, masing-masing. Untuk saat ini, Cicada3301 tampaknya menghindari tren BGH yang disorot oleh Chainalysis dan lebih fokus pada sasaran yang lebih mudah seperti usaha kecil dan menengah (UKM)….

Steve Dakhe tidak tahu apa yang harus diharapkan ketika menerima panggilan mendesak dari seorang pelanggan ExtraHop setelah latihan red team yang tidak terduga. Namun, Dakhe, seorang manajer keberhasilan pelanggan di ExtraHop, tidak perlu khawatir; pelanggan tersebut menelepon untuk menjelaskan seberapa baik platform network detection and response (NDR) ExtraHop RevealX berfungsi. Menurut direktur SOC pelanggan tersebut, RevealX berhasil mendeteksi lebih dari selusin taktik dan teknik yang digunakan oleh tim red team. “RevealX terlihat seperti pohon Natal,” katanya, menunjukkan bahwa platform tersebut dapat mendeteksi “semuanya”—mulai dari pemasangan command and control (C2) beacon, pergerakan lateral, hingga penggunaan teknik living off the land, dan banyak lagi. Hari Pertama Natal, Red Team Memberiku: Serangan Rekayasa Sosial Latihan red team dimulai dengan serangan rekayasa sosial untuk melewati keamanan email organisasi. Anggota red team, berpura-pura sebagai staf TI organisasi, menelepon karyawan dan meminta mereka menginstal perangkat lunak penguji kecepatan jaringan palsu. Beberapa karyawan terperdaya dan mengunduh malware yang disamarkan sebagai perangkat lunak penguji kecepatan ke komputer mereka. Malware di komputer karyawan—yang tidak terdeteksi oleh alat keamanan endpoint perusahaan—menggunakan PowerShell dan WMIC untuk memicu peluncuran jarak jauh Cobalt Strike beacon. RevealX segera mendeteksi aktivitas tersebut. Ketika Cobalt Strike beacon berhasil membangun koneksi command and control (C2), RevealX juga mendeteksinya tanpa ragu. 12 TTP di Natal Red Team Satu per satu, RevealX terus menyala, mengungkapkan berbagai tanda aktivitas berbahaya—sebagian besar hanya dapat dideteksi pada jaringan. Aktivitas ini termasuk enumeration, pergerakan lateral, upaya terhubung ke domain Active Directory organisasi, pemindaian RDP, sesi RDP jarak jauh, koneksi RDP baru ke pengontrol domain, upaya eksploitasi Shellshock HTTP, injeksi Log4Shell, upaya transfer zona DNS, agen pengguna mencurigakan, kueri wildcard LDAP, dan eksfiltrasi data. Seminggu setelah serangan rekayasa sosial, red team bekerja sama dengan pihak dalam perusahaan untuk memasang perangkat komputasi yang tidak sah ke jaringan. Melalui perangkat ini, mereka menggunakan alat GetUserSPNs.py untuk mencoba meluncurkan serangan Kerberoasting. Namun, RevealX memberikan peringatan kepada tim keamanan mengenai upaya tersebut. Meskipun memasang perangkat baru ke jaringan bukanlah pendekatan paling halus, red team umumnya berusaha tetap tidak terdeteksi. Banyak taktik yang mereka gunakan diklasifikasikan sebagai risiko sedang oleh RevealX dan platform keamanan lainnya. Sebagai contoh, aktivitas Kerberoasting mendapat skor risiko 65 pada skala 100 poin yang digunakan dalam deteksi RevealX, di mana 100 mewakili risiko tertinggi. Pemindaian ping, taktik lain yang sering digunakan oleh red team, mendapat skor 37 pada skala risiko. Pemindaian DNS internal reverse lookup juga bernilai 37. “Salah satu aktivitas, seperti transfer DNS, mungkin tampak tidak berbahaya, tetapi bersama dengan pemindaian ping dan upaya RDP, ini mulai menumpuk,” kata direktur SOC. “Jika Anda menggabungkannya, semuanya mulai terlihat serius.” RevealX: Hadiah untuk Tim Keamanan dan Malapetaka untuk Penyerang RevealX tidak hanya bekerja dengan sangat baik secara mandiri, tetapi juga terintegrasi dengan baik ke dalam infrastruktur keamanan organisasi lainnya, menurut direktur SOC. “RevealX adalah alat yang hebat untuk mendeteksi aktivitas pasca-kompromi,” ujarnya. “Alat ini memberi kami visibilitas jaringan dan deteksi yang kami butuhkan untuk melacak dan mencegah apa yang sedang dicoba dilakukan oleh red team.”

Sejak tahun 2021, rata-rata waktu yang dibutuhkan penyerang untuk berpindah dari kompromi awal hingga pencurian data adalah 44 hari. Namun, serangan terbaru bisa selesai hanya dalam hitungan jam. Percepatan waktu ini menjadi masalah besar bagi organisasi, karena rata-rata waktu yang diperlukan untuk mendeteksi dan menangani serangan di seluruh dunia saat ini adalah 10 hari, menurut laporan M-Trends 2024 dari Mandiant. Setelah pelanggaran ditemukan, perlu dilakukan penyelidikan dan perbaikan, dan perusahaan publik harus melaporkan pelanggaran tersebut ke SEC dalam waktu empat hari setelah mengetahui dampak seriusnya. Itu adalah banyak yang harus dilakukan oleh organisasi dalam waktu singkat, dan bagi banyak organisasi, itu sangat sulit. Namun, ada data berharga yang dimiliki setiap organisasi yang dapat membantu, meskipun jarang dimanfaatkan sepenuhnya: jaringan. Nilai Jaringan dalam Keamanan Siber Biasanya, profesional keamanan lebih fokus pada tempat di mana penyerang akan berakhir, seperti perangkat akhir (endpoint), pengendali domain, basis data yang berisi informasi sensitif, dan sebagainya. Karena itu, alat deteksi dan respons titik akhir (EDR) serta SIEM adalah solusi keamanan yang paling umum digunakan. Namun, masalahnya adalah alat-alat ini hanya memberi tahu kita ketika penyerang sudah berada di dalam sistem, bukan dari mana mereka memulai, bagaimana mereka bergerak, atau sistem apa saja yang mereka sentuh dalam prosesnya. Perangkat yang tidak terkelola, seperti perangkat IoT atau laptop milik tamu atau kontraktor, tidak bisa menjalankan agen keamanan (EDR), atau Anda tidak punya izin untuk menginstalnya. Selain itu, penyerang yang lebih canggih bisa menghindari EDR, bahkan menciptakan alat untuk menghancurkan EDR itu sendiri. Meskipun log diperlukan untuk kepatuhan, SIEM yang mengumpulkannya seringkali lambat dalam menganalisis dan memprosesnya, serta sering menghasilkan banyak peringatan palsu. Penyerang juga sering menonaktifkan atau menghapus log untuk menyembunyikan aktivitas mereka. Telemetri Jaringan—yaitu menggabungkan data jaringan dengan pemantauan dan analisis paket secara lengkap—mengisi kekurangan yang ditinggalkan oleh EDR dan SIEM. Semua aktivitas harus melewati jaringan, dan lalu lintas jaringan tidak bisa diubah. Jadi, jika Anda memantau jaringan, penyerang tidak bisa bersembunyi. Mengatasi Hambatan dalam Penggunaan Data Jaringan Dulu, data jaringan hanya memberikan sebagian informasi, dengan kenyataan yang tersembunyi di dalam paket-paket yang melintasi jaringan setiap hari, dan mencoba untuk melakukan pemantauan dan analisis paket penuh (PCAP) adalah hal yang sulit dilakukan oleh banyak organisasi. Data yang terlalu banyak, perangkat yang tidak mampu menangani volume lalu lintas jaringan, serta keterbatasan dalam penyimpanan dan komputasi membuatnya hampir mustahil dilakukan. Namun, sekarang hal itu sudah tidak menjadi masalah lagi. Platform deteksi dan respons jaringan RevealX™ dari ExtraHop® membuka potensi telemetri jaringan, termasuk pemantauan paket jaringan penuh. Penyimpanan paket yang efisien mengurangi beban sumber daya, sementara algoritma AI dan pembelajaran mesin yang kuat dapat mendeteksi ancaman dan perilaku mencurigakan secara langsung—sesuatu yang tidak bisa dilakukan oleh SIEM tradisional. RevealX memberikan konteks yang lebih lengkap yang tidak bisa diberikan oleh SIEM dan EDR, seperti kapan dan di mana serangan dimulai dan bagaimana perkembangannya. Konteks ini memberi penyelidik lebih banyak waktu untuk bertindak dan memungkinkan organisasi untuk mengambil langkah-langkah pencegahan yang lebih baik. RevealX juga dapat mendekripsi lebih dari 90 protokol jaringan, aplikasi, database, dan internet, yang berarti bahkan lalu lintas yang terenkripsi pun tidak dapat menyembunyikan jejak aktivitas penyerang. Faktanya, PCAP penuh dan analisis yang diberikan oleh RevealX memungkinkan analis keamanan untuk tahu dengan pasti apakah suatu insiden perlu dilaporkan. Data yang terpecah dalam paket-paket dapat disusun kembali untuk mengungkapkan detail yang sangat mendalam. Analis dapat melihat tidak hanya bahwa suatu kueri SQL dijalankan di server tertentu, tetapi juga apakah kueri itu menghasilkan data, yang dapat menghemat banyak waktu dalam mencari tahu apakah data sensitif terpengaruh. PCAP penuh juga membantu organisasi untuk tetap tangguh saat melakukan penyelidikan pelanggaran dan perbaikan, terutama jika terkena ransomware. Biasanya, ketika organisasi menemukan ransomware, langkah pertama yang sering diambil adalah mematikan seluruh sistem untuk mencegah ransomware menyebar. Ini bisa mengganggu operasional dan menyebabkan kerugian pendapatan serta hilangnya pelanggan. Namun, dengan kemampuan untuk menangkap dan menganalisis paket secara lengkap secara real-time, organisasi dapat mengetahui sistem mana yang benar-benar terpengaruh dan memutuskan sistem mana yang perlu dimatikan dan mana yang bisa tetap berjalan untuk meminimalkan gangguan. Tidak semua solusi deteksi dan respons jaringan sama. Seperti halnya EDR hanya dapat menunjukkan apa yang terjadi di titik akhir, beberapa alat pemantauan jaringan hanya mengumpulkan metadata jaringan atau NetFlow. Data ini memang bisa membantu mendeteksi serangan, tetapi tetap saja itu belum menggambarkan keseluruhan masalah. Perbedaan antara hanya melihat metadata (seperti header paket) dan pemantauan paket penuh adalah perbedaan antara kamera lalu lintas yang hanya memberi tahu Anda bahwa mobil yang melaju kencang berwarna merah, dan kamera yang juga menangkap nomor pelat dan foto pengemudi. Metadata hanya memberi informasi sebagian yang bisa diinterpretasikan, sementara pemantauan paket penuh memberikan informasi yang pasti. Tingkat visibilitas jaringan yang diberikan oleh RevealX memberikan banyak manfaat bagi organisasi. Forrester Consulting melakukan studi yang menunjukkan hasil besar dalam produktivitas, dengan pengurangan waktu perbaikan sebesar 86%, pengurangan waktu untuk menyelesaikan ancaman sebesar 87%, dan pengurangan waktu untuk mengatasi gangguan sebesar 92%. Setiap menit sangat berharga saat terjadi serangan siber. Dengan RevealX di sisi Anda, Anda dapat memaksimalkan setiap menit dengan sebaik-baiknya.