Ini Metode Baru Penjahat Siber untuk Curi Kredensial Perusahaan Industri

Teknogav.com – Serangkaian kampanye spyware baru yang berkembang pesat telah ditemukan pakar Kaspersky. Lebih dari 2.000 perusahaan industri di seluruh dunia diserang kampanye spyware tersebut. Serangan ini mencolok karena jumlah sasaran di setiap serangan terbatas dan memiliki masa hidup sangat singkat dari setiap sampel berbahaya. Temuan ini dipublikasikan dalam laporan Kaspersky ICS CERT terbaru.

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) adalah proyek global yang diluncurkan oleh Kaspersky tahun 2016. Proyek ini bertujuan mengkoordinasi vendor sistem automasi, pemilik dan operator industri dan peneliti TI untuk melindungi industri dari serangan siber. Prioritas utama dari Kaspersky ICS CERT adalah untuk mengidentifikasi potensi dan ancaman yang menyasar sistem automasi industri dan IoT.

Studi Kaspersky ICS CERT terkini berhasil mengidentifikasi lebih dari 25 marketplace tempat data curian dijual. Pada semester pertama tahun 2021, terlihat anomali aneh dalam statistik ancaman spyware yang diblokir komputer industrial computer system (ICS). malware yang digunakan dalam serangan ke ICS ini berasal dari keluarga spyware terkenal seperti Agen Tesla/Origin Logger, HawkEye dan lain-lain.

Analisis lebih dalam dilakukan terhadap 58.586 sampel spyware yang diblokir komputer ICS selama semester pertama 2021. Hasil analisis menunjukkan bahwa sekitar 21,2% merupakan bagian dari serangkaian serangan terbatas dan jangka pendek. Siklus hidup spyware tersebut hanya 25 hari, lebih pendek dibandingkan masa hidup spyware lain. Kendati berumur pendek dan sedikit sasarannya, namun serangan ini bertanggung jawab atas bagian yang tak proporsional dari seluruh serangan spyware. Contohnya di Asia, setiap komputer ke-6 yang diserang spyware merupakan salah satu sampel spyware ‘anomali’ (2,1% dari 11,9%).

Persentase komputer ICS di mana spyware diblokir pada enam bulan pertama 2021

Penyebaran sebagian besar kampanye ini dilakukan dari satu perusahaan industri ke perusahaan lain melalui email phishing yang dibuat sangat baik. Setelah menembus ke dalam sistem korban, penyerang menggunakan perangkat sebagai server C2 (perintah dan kontrol) serangan berikutnya. Penjahat siber dapat menyalahgunakan email perusahaan dengan mengakses daftar email kontak korban, dan menyebarkan spyware lebih jauh.

Email yang dikirim sebagai bagian dari penyebaran serangan dengan menyalahgunakan daftar kontak korban

Menurut telemetri Kaspersky ICS CERT, lebih dari 2.000 organisasi industri di seluruh dunia telah masuk ke dalam infrastruktur berbahaya. Kelompok penjahat siber pun menyebarkan serangan ke kontak yang dimiliki organisasi dan mitra bisnis mereka. Jumlah total akun perusahaan yang disusupi atau dicuri melalui serangan spyware diperkirakan mencapai lebih dari 7.000.

Data sensitif dari komputer ICS yang berhasil dicuri sering beredar di marketplace. Pakar Kaspersky mengidentifikasi lebih dari 25 pasar berbeda tempat kredensial tersebut dijual. Kredensial akun perusahaan memiliki permintaan yang tinggi, khususnya akun Desktop Jarak Jauh (RDP/remote desktop protocol). Lebih dari 46% akun RDP yang beredar di marketplace tersebut milik perusahaan di Amerika Serikat. Sisanya merupakan akun dari Asia, Amerika Latin dan Eropa. Hampir 2.000 akun atau sekitar 4% dari total akun RDP yang dijual adalah milik perusahaan industri.

Pasar berkembang lainnya adalah Spyware-as-a-Service. Publikasi kode sumbber dari beberapa program spyware populer membuatnya sangat tersedia di toko online dalam bentuk layanan. Pengembang menjual malware sebagai produk dan lisensi bagi pembuat malware. Akses ke infrastruktur juga sudah dikonfigurasikan sebelumnya untuk membangun malware.

''Sepanjang tahun 2021, para pelaku kejahatan siber secara ekstensif menggunakan spyware untuk menyerang komputer industri. Hari ini kita menyaksikan tren baru yang berkembang pesat di lanskap ancaman industri. Untuk menghindari deteksi, mereka mengecilkan ukuran setiap serangan dan membatasi penggunaan setiap sampel malware dengan segera menggantinya dengan yang baru. Taktik lain termasuk penyalahgunaan besar-besaran infrastruktur email perusahaan untuk menyebarkan malware. Ini berbeda dari apa pun yang telah para ahli amati pada kampanye spyware sebelumnya. kami mengantisipasi serangan semacam itu mendapatkan daya tarik di tahun mendatang,” ucap Kirill Kruglov, pakar keamanan di Kaspersky ICS CERT.

Tips Keamanan bagi Industri dan Bisnis

Para ahli Kaspersky merekomendasikan tips berikut ini untuk menjamin perlindungan yang memadai pada perusahaan industri, mitra dan operasi jaringan bisnis:

Terapkan autentikasi dua faktor untuk akses yang dapat digunakan penyerang untuk menakses infrastruktur internal perusahaan dan data penting bisnis lainnya. Akses tersebut mencakup email perusahaan dan layanan lain yang terhubung ke internet (termasuk RDP, gateway VPN-SSL, dll.).
Pastikan semua titik akhir, baik di jaringan TI maupun OT, dilindungi dengan solusi keamanan titik akhir modern. Konfigurasi dengan tepat dan selalu perbaruai solusi tersebut agar tetap aman.
Beri pelatihan rutin kepada tim perusahaan secara teratur untuk menangani email masuk dengan aman. Pelatihan ini juga untuk melindungi sistem mereka dari malware yang mungkin berada dalam lampiran email.
Periksa folder spam dengan teratur ketimbang hanya mengosongkannya.
Pantau akun organisasi perusahaan yang terpapar di web.
Gunakan solusi sandbox yang dirancang untuk menguji lampiran secara otomatis dalam lalu lintas email masuk. Pastikan solusi sandbox dikonfigurasi untuk tidak melewatkan email dari sumber "tepercaya", termasuk mitra dan kontak organisasi. Ini karena tidak ada yang 100% terlindungi dari gangguan keamanan.
Uji lampiran dalam email keluar untuk memastikan perusahaan tidak disusupi pihak asing.

Demikianlah beberapa tips yang diberikan oleh Kaspersky agar perusahaan dapat aman dari serangan spyware.