Perkembangan AI telah meningkatkan kecanggihan dan vektor ancaman serangan siber potensial dengan ransomware yang menjadi layanan bagi penjahat siber dan munculnya ancaman terhadap iOS dengan Operasi Triangulasi pada tahun 2024.
BISNISASIA.CO.ID, JAKARTA – Lanskap ancaman keamanan siber terus berkembang seiring munculnya pelaku, teknologi, dan ancaman baru, yang menciptakan dunia yang tidak pasti bagi organisasi dan masyarakat dengan potensi jebakan bahkan saat membuka email. Profesional keamanan siber harus tetap waspada dan mengantisipasi skema, ancaman, dan strategi yang berkembang pesat oleh penjahat siber yang memanfaatkan teknologi sumber terbuka dan menjadi semakin canggih.
Berdasarkan temuan dari Laporan Analis Respons Insiden Kaspersky 2023, skala ancaman siber saat ini menunjukkan bahwa 75% upaya serangan siber mengeksploitasi Microsoft Office. Dalam hal vektor infeksi, 42,3% upaya yang berhasil menggunakan aplikasi yang tersedia untuk umum dengan 20,3% menggunakan akun yang disusupi sementara hanya 8,5% menggunakan kredensial brute force.
Terkait vektor infeksi, sebagian besar serangan dilakukan oleh penyerang yang menggunakan kredensial yang dicuri atau dibeli sebelum melakukan serangan protokol desktop jarak jauh (RDP), email phishing yang memuat lampiran dan tautan berbahaya, serta file berbahaya pada sumber daya publik yang meniru templat dokumen. Di sisi positifnya, upaya serangan turun hingga 36% pada Q1 tahun 2023 dibandingkan dengan periode yang sama pada tahun 2022.
Setelah mengalami serangan siber, akibatnya 33,3% organisasi mendapatkan data mereka dienkripsi, 21,1% mengalami pencurian data, dan 12,2% mengalami direktori aktif yang disusupi.
Berdasarkan survei Kaspersky sebelumnya yang dilakukan pada tahun 2022, risiko ancaman siber terbesar yang muncul adalah ransomware (66%) bersama dengan pencurian data (juga 66%), diikuti oleh sabotase siber (62%), serangan rantai pasokan (60%) dan serangan DDos (juga 60%), spionase siber (59%), ancaman persisten tingkat lanjut [APT] (57%) dan penambangan kripto (56%). Untuk tahun 2024, ancaman siber yang sedang tren saat ini terutama adalah serangan rantai pasokan (6,8%) dan upaya phishing yang ditargetkan (5,1%) yang tetap menjadi ancaman yang jelas dan nyata bagi bisnis.
Berdasarkan statistik tahun 2023 yang sama, target paling produktif oleh pelaku ancaman adalah pemerintahan (27,9%), lembaga keuangan (12,2%), manufaktur (17%) dan perusahaan IT (8,8%).
Dalam hal wilayah yang menjadi target, Asia dan CIS (Commonwealth of Independent States) mengalami insiden keamanan siber terbanyak sebesar 47,3% diikuti oleh Amerika (21,8%), Timur Tengah (10,9%) dan Eropa (9,1%). “Pemerintah menjadi target paling produktif oleh pelaku ancaman diikuti oleh manufaktur dan lembaga keuangan dengan risiko ancaman siber terbesar adalah ransomware dan sabotase siber,” kata Igor Kuznetsov, Direktur, Tim Riset & Analisis Global (GReAT) di Kaspersky.
Berdasarkan statistik dari solusi keamanan Kaspersky yang digunakan oleh klien, lebih dari 220.000 bisnis terlindungi di seluruh dunia dengan 6,1 miliar serangan dicegah dengan solusi keamanan Kaspersky beserta 437 juta ancaman yang berasal dari internet terdeteksi dan dihentikan. Selain itu, lebih dari 325.000 pengguna diselamatkan dari kerugian finansial setelah trojan perbankan terdeteksi dan digagalkan.
Untuk mencapai hal ini, layanan keamanan Kaspersky mendeteksi lebih dari 411.000 sampel malware unik setiap hari pada tahun 2024 yang merupakan peningkatan lebih dari 403.000 setiap hari pada tahun 2023. Dalam hal insiden keamanan siber, lebih dari 99% terdeteksi oleh sistem otomatis. Pada tahun 2023 juga terdeteksi 106 juta URL berbahaya unik dan 200 grup ancaman persisten tingkat lanjut (APT) yang saat ini aktif.
Ransomware as a service (RaaS) mengemuka
Tren yang berlaku adalah bahwa kejahatan dunia maya sering kali dijalankan sebagai bisnis dengan mayoritas insiden keamanan dunia maya yang terdeteksi (71%) didorong oleh faktor finansial.
Terjadi peningkatan tajam dalam insiden ransomware yang menyebabkan persentase pengguna yang terkena ransomware bertarget hampir dua kali lipat pada tahun 2021-2022. Hal ini dibuktikan dengan survei yang menunjukkan bahwa 68% pemilik bisnis yang disurvei meyakini bahwa risiko keamanan TI terus meningkat.
“Ada tiga mitos populer terkait ransomware,” kata Igor, “yang pertama adalah bahwa penjahat dunia maya hanyalah penjahat dengan pendidikan TI, bahwa target ransomware ditetapkan sebelum serangan, dan bahwa geng ransomware juga bertindak secara bersama.” Bertentangan dengan pendapat umum, sebagian besar insiden dunia maya merupakan serangan oportunistik sementara banyak geng ransomware benar-benar bekerja sama dengan afiliasi seperti halnya bisnis, melakukan ransomware as a service (RaaS).
RaaS beroperasi sebagai proses yang canggih, yang awalnya melibatkan pengembang ransomware dan pengembang packer untuk membuat malware itu sendiri, yang kemudian dipasarkan ke penjahat dunia maya lainnya. Berbagai pelaku ancaman khusus berkontribusi pada ekosistem ransomware:
- Penjual akses menawarkan akses ke sistem yang dilindungi sebagai layanan, sering kali menjual barang dagangan mereka di pasar gelap khusus.
- Analis nakal mengidentifikasi nilai sebenarnya dari target dan memberikan saran strategis kepada negosiator profesional. Setelah muatan malware dikirimkan, negosiator khusus ini mulai bekerja untuk memastikan tebusan dibayarkan menggunakan keterampilan rekayasa sosial mereka. Setelah pembayaran, mereka memfasilitasi pencucian dana sebelum siklus berulang.
- Pelaku Advanced Persistent Threat (APT) yang disponsori negara dapat mengeksploitasi penjahat dunia maya sebagai titik masuk yang mudah ke target yang diinginkan, menggunakan koneksi ini untuk melakukan spionase atau menimbulkan kerusakan pada korban.
Dalam beberapa kasus, operasi ini dapat mencakup taktik infiltrasi untuk menyebarkan ransomware secara efektif. Pendekatan kolaboratif ini memungkinkan penjahat dunia maya untuk menyatukan keahlian mereka, membuat serangan ransomware lebih canggih dan sulitas untuk dilawan, sekaligus memastikan seluruh proses dari pelanggaran awal hingga pencucian dana ditangani oleh spesialis di setiap tahap.
Untuk mengoptimalkan peluang keberhasilan, penjahat dunia maya dapat membeli eksploitasi 0-hari dari penjahat lain yang sebelumnya merupakan kemewahan yang hanya dapat diakses oleh aktor yang disponsori negara tetapi sekarang tersedia bagi penawar tertinggi. Kripto lintas platform juga menjadi lebih kreatif dan adaptif dan telah memberlakukan mekanisme pertahanan diri terhadap malware mereka agar lebih sulit didekripsi.
Berbagai penjahat dunia maya yang terspesialisasi ini semuanya memainkan perannya dan setelah muatan malware dikirimkan, aktor ancaman khusus yang bertindak sebagai negosiator profesional ikut bermain untuk mendapatkan tebusan yang dibayarkan. Setelah tebusan dibayarkan, kemudian mereka mendapatkan dana yang dicuci sebelum siklus itu terulang kembali.
“Pada akhirnya, organisasi yang terkena dampak tidak boleh membayar tebusan yang akan memungkinkan lebih banyak kejahatan dunia maya,” kata Igor. Ia memperingatkan bahwa meskipun tebusan dibayarkan, data tersebut mungkin telah dicuri dan dapat dibocorkan nanti atau digunakan untuk upaya pemerasan lebih lanjut. Sebaliknya, Igor menyoroti solusi alternatif: “Korban sering kali dapat memulihkan data mereka tanpa membayar. Kaspersky menyimpan brankas kunci dan alat untuk mendekripsi data yang dikunci oleh berbagai keluarga ransomware. Sejak 2018, lebih dari 1,5 juta pengguna di seluruh dunia telah berhasil memulihkan data mereka menggunakan sumber daya ini.”
Operasi Triangulasi
Salah satu vektor ancaman potensial terbesar yang ditemukan oleh Kaspersky adalah Operasi Triangulasi yang menargetkan perangkat iOS. Melalui malware yang tidak diketahui dan yang mengeksploitasi kerentanan perangkat keras di dalam CPU Apple ini menggunakan empat kerentanan 0-hari untuk menginfeksi perangkat target yang mampu menelan biaya lebih dari US$1 juta di pasar gelap untuk mendapatkannya.
Ketika perangkat iOS menjadi target, perangkat tersebut akan mendapatkan iMessage yang tidak terlihat dengan lampiran berbahaya dengan eksploitasi non-interaksi dari pesan yang memulai eksekusi kode. Setelah kode disebarkan, kode tersebut terhubung ke layanan dan kemudian memulai eksekusi multi-tahap dari muatan malware. Setelah ini selesai, penyerang akan mendapatkan kendali penuh atas perangkat iOS yang disusupi dan semua jejak dan log kemudian dihapus untuk menghilangkan jejak serangan apa pun.
Kerentanan ini telah ditambal oleh Apple tetapi untuk mencegah kemungkinan serangan siber di masa mendatang, pengguna perangkat iOS perlu memperbarui firmware mereka secara teratur, melakukan boot ulang secara teratur dan menonaktifkan iMessage untuk mencegah kemungkinannya sebagai jalur malware.
