JAKARTA (IndoTelko) - Perusahaan keamanan siber yang menghadirkan masa depan deteksi dan respons yang diperluas (XDR), Trellix hari ini merilis Threat Labs Report: April 2022, yang memeriksa perilaku dan aktivitas cybercriminal dalam enam bulan terakhir.
Penemuan-penemuan penting dari laporan ini mencakup konsumen individu sebagai target utama pelaku kejahatan siber, diikuti oleh industri vertikal kesehatan. Industri transportasi, pengiriman barang, manufaktur, dan teknologi informasi menunjukkan peningkatan jumlah ancaman.
Menurut Lead Scientist and Principal Engineer, Trellix Threat Labs, Christiaan Beek, "Saat ini kita berada pada persimpangan kritis dalam keamanan siber dan kami mengamati meningkatnya perilaku agresif pada wilayah serangan siber yang semakin luas.”
“Dunia kita telah berubah secara fundamental. Kuartal ke-4 menandakan pergeseran dari pandemi yang terjadi selama dua tahun, di mana periode tersebut digunakan oleh penjahat siber untuk mengambil keuntungan serta kerentanan Log4Shell yang berdampak pada ratusan juta perangkat, dan melanjutkan momentum siber pada tahun yang baru – hal ini tergambar melalui eskalasi aktivitas siber di skala internasional," katanya.
Pada kuartal ke-4 tahun 2021 menggambarkan peningkatan aktivitas siber yang menargetkan sektor-sektor penting terhadap fungsi masyarakat sebagai berikut:
1. Transportasi dan pengiriman sebanyak 27% dari keseluruhan deteksi APT – aktivitas yang dilakukan oleh aktor jahat atau tersembunyi.
2. Kesehatan sebagai sasaran kedua yang diserang, sebanyak 12% dari total deteksi
3. Ancaman terhadap bidang manufaktur meningkat 100% dari kuartal 3 – 4 pada tahun 2021, dan ancaman terhadap teknologi informasi meningkat sebesar 36% pada periode yang sama
4. Sektor transportasi menjadi target sebesar 62% dari keseluruhan deteksi yang diamati pada kuartal ke-4 tahun 2021
Trellix merilis Laporan Kesiapan Siber global yang menyelidiki bagaimana penyedia infrastruktur penting mempersiapkan diri untuk bertahan dari serangan siber. Laporan tersebut menemukan bahwa meskipun ada serangan tingkat tinggi, banyak penyedia infrastruktur penting belum menerapkan praktik terbaik untuk keamanan siber mereka.
Trellix Threat Labs juga telah menyelidiki malware penghapus (wiper) dan ancaman siber lainnya yang menargetkan Ukraina. Wiper membuat perangkat dalam organisasi menjadi tidak berfungsi dengan menghapus catatan kritis master boot mereka, memori penting yang mencatat bagaimana perangkat-perangkat tersebut beroperasi.
Analisis Trellix dari malware Whispergate danHermeticWiper yang digunakan sebelum dan selama invasi militer Rusia ke Ukraina merinci persamaan dan perbedaan dari dua jenis tersebut dan membandingkannya dengan malware serupa.HermeticRansom, IsaacWiper dan DoubleZero digunakan untuk mengacaukan sistem TI Ukraina selama periode kritis ini dengan menghancurkan komunikasi dalam negeri.
Laporan hari ini mencantumkan aktor-aktor serangan yang mempunyai hubungan dengan Rusia, dan menargetkan Ukraina seperti Actinium APT, Gamaredon APT, Nobelium APT (juga dikenal sebagai APT29), UAC-0056, dan Shuckworm APT. Dari semua aktivitas APT Trellix yang diamati pada kuartal ke-4 2021, APT29 menyumbang 30% dari total deteksi serangan.
Terinci pula organisasi yang ingin melindungi lingkungan kerja mereka dari pelaku kejahatan siber. Untuk informasi lebih lanjut tentang aktivitas dunia maya yang menargetkan Ukraina, kunjungi Trellix Threat Center dan blog Threat Labs.
Trellix mengamati kelanjutan penggunaan metode serangan Living off the Land (LoTL), di mana penjahat menggunakan perangkat lunak yang ada dan mengontrol perangkat asli untuk mengeksekusi serangan, dengan penggunaan Windows Command Shell (CMD) (53%) dan PowerShell (44%) merupakan binari NativeOS yang paling sering digunakan, dan layanan jarak jauh (36%) sebagai alat administratif yang paling sering digunakan.
Trellix Threat Labs baru-baru ini menemukan teknik LoTL digunakan oleh DarkHotel, grup APT berbasis di Korea Selatan, yang memanfaatkan file Excel untuk berhasil menyusup ke hotel mewah dan mengumpulkan informasi tentang tamu terkemuka yang bepergian untuk bekerja dan konferensi.
Trellix Threat Labs juga mengidentifikasi serangan spionase bertahap pada kantor perdana menteri untuk mengawasi pejabat tinggi pemerintah dan eksekutif bisnis sektor pertahanan. Kampanye serangan ini menampilkan penggunaan Microsoft OneDrive sebagai server Command and Control (C2) dan Excel untuk mendapatkan akses ke lingkungan korban.
Metode dan Teknik serangan siber lainnnya yang semakin meningkat dalam beberapa bulan terakhir meliputi:
1. Cobalt Strike menempati peringkat tertinggi di antara alat yang digunakan oleh grup APT di kuartal 4 2021 – meningkat 95% dari kuartal 3
2. File atau informasi yang dikaburkan, diikuti oleh kredensial dari browser web, dan penemuan file dan direktori adalah teknik yang paling banyak ditemukan pada kuartal 4 2021
3. Malware paling sering digunakan dalam insiden yang dilaporkan di kuartal 4 2021, terhitung 46% dari total insiden – meningkat 15% dari kuartal 3 2021
Secara khusus, laporan ini menemukan peningkatan signifikan – 73% – dalam insiden siber yang menargetkan individu dan menempatkan perorangan sebagai sektor serangan teratas pada kuartal 4 2021. Ini termasuk ancaman yang dilakukan melalui media sosial, perangkat seluler, dan layanan lain tempat konsumen menyimpan data dan kredensial. Misalnya, pada kuartal 4 2021 Facebook menemukan jenis serangan spyware yang menargetkan pengguna di seluruh dunia serta ditemukan kelompok kriminal lain yang memanfaatkan malware joker yang menargetkan pengguna Android secara global. Serangan-serangan ini biasanya bermotivasi politik untuk mengikuti interaksi dan kontak seseorang.
Metodologi
Laporan Threat Labs: April 2022 memanfaatkan data kepemilikan dari jaringan Trellix yang terdiri dari lebih dari satu miliar sensor bersama dengan intelijen sumber terbuka dan investigasi Trellix Threat Labs terhadap ancaman umum seperti ransomware dan aktivitas negara-bangsa. Telemetri yang terkait dengan deteksi ancaman digunakan untuk tujuan laporan ini. Sebuah deteksi ditentukan pada saat file, URL, alamat IP, atau indikator lainnya terdeteksi dan dilaporkan melalui ekosistem Trellix XDR. (ak)