kita tidak bisa mengabaikan fakta bahwa para pelaku kejahatan ini terus bergerak dengan semakin lihai dan mereka menggunakan taktik yang sengaja dirancang untuk menghindari metode deteksi konvensional,Jakarta (ANTARA) - Crowdstrike (Nasdaq: CRWD) baru saja meluncurkan laporan terbaru bertajuk "CrowdStrike Threat Hunting 2023". Laporan ini mengupas adanya kecenderungan bentuk serangan dan metode yang digunakan pelaku kejahatan siber sekaligus mengungkap adanya peningkatan signifikan jumlah insiden pembobolan berbasis identitas.
Edisi keenam laporan tahunan tersebut menyebutkan bahwa saat ini, para pelaku kejahatan siber semakin canggih dalam membidik cloud. Temuan yang tak kalah mengkhawatirkan adalah adanya lonjakan tiga kali lipat dalam penyalahgunaan RMM, sementara waktu breakout yang dibutuhkan pelaku untuk melancarkan aksinya kini sungguh kian singkat, bahkan tercatat terendah sepanjang sejarah.
Head of Counter Adversary Operations, CrowdStrike, Adam Meyers, mengungkapkan dalam upaya pelacakan pemantau threat dari CrowdStrike dan analis intelijen terhadap lebih dari 215 pelaku serangan dalam setahun terakhir, terlihat ancaman keamanan siber menjadi kian rumit dan mendalam.
"Ini akibat para penjahat siber yang kian gencar beralih menggunakan strategi dan platform baru. Contohnya penyalahgunaan kredensial yang valid dalam membidik celah-celah kerentanan atau vulnerability di cloud maupun perangkat lunak," ujar dia.
Laporan tersebut juga membedah seluruh aktivitas serangan siber antara Juli 2022 hingga Juni 2023, sekaligus sebagai publikasi pertama dari tim Operasi Kontra-Penjahat Siber CrowdStrike yang secara resmi diumumkan minggu ini dalam ajang Black Hat USA 2023.
Pendeknya, CrowdStrike menilai masalah yang ada bukan soal malware, melainkan cara kerja para kelompok kejahatan siber. Untuk menghentikan hal tersebut, tim keamanan harus memahami cara mereka beroperasi. Maka, tim operasi CrowdStrike memaparkan strategi terbaru dan memberikan pengetahuan serta wawasan untuk membantu menghentikan pelanggaran demi pelanggaran yang terjadi selama ini.
Temuan penting
Sejumlah temuan penting yang tersaji dalam laporan CrowdStrike di antaranya peningkatan insiden serangan identitas Kerberoasting yang mencapai angka sebesar 583 persen. Hal ini menggambarkan adanya eskalasi pembobolan keamanan berbasis identitas yang kian serius dari waktu ke waktu.
Serangan Kerberoasting merupakan sebuah teknik serangan yang digunakan oleh pelaku kejahatan siber untuk memperoleh kredensial valid dari suatu akun layanan Microsoft Active Directory. Adanya kenaikan drastis yakni hampir 6 kali lipat dari tahun ke tahun (yoy) dalam hal jumlah serangan ini tentu patut mendapatkan perhatian.
Teknik ini memungkinkan para pelaku kejahatan siber tetap tidak terdeteksi dalam lingkungan korban selama periode waktu yang lebih lama. Secara keseluruhan, tercatat sebesar 62 persen dari seluruh kejadian serangan interaktif melibatkan penyalahgunaan akun valid. Adapun upaya mencuri sandi rahasia serta kredensial lainnya melalui API metadata pada instans cloud, tercatat mengalami peningkatan sebesar 160 persen.
Temuan lain adalah peningkatan praktik penyalahgunaan RMM oleh pelaku kejahatan siber sebesar 312 persen yoy. Merujuk data dari laporan CISA, terlihat bahwa para penjahat siber semakin sering menggunakan aplikasi manajemen IT jarak jauh terkemuka guna menghindari deteksi dan menyamarkan diri. Hal ini dilakukan agar mereka dapat mengakses data sensitif, menyebarkan ransomware, atau menerapkan taktik serangan yang telah disesuaikan sedemikian rupa.
Sementara itu, waktu breakout serangan siber juga menyentuh rekor tercepat yakni 79 menit. Kini, waktu rata-rata yang dibutuhkan pelaku kejahatan siber hingga mampu bergerak secara lateral dari korban pertama ke korban berikutnya telah semakin cepat.
Angka ini tercatat mengalami penurunan dari 84 menit di tahun 2022 lalu dan kini mencapai rekor terendah baru yaitu hanya 79 menit. Satu hal yang lebih mencengangkan adalah waktu breakout tercepat dalam setahun --antara Juli 2022 hingga Juni 2023--, tercatat hanya 7 menit.
Lonjakan serangan
Hal penting lain dari penelusuran tim pemantau CrowdStrike adalah lonjakan insiden serangan interaktif sebesar 80 persen yoy pada sektor industri keuangan. Pada sektor ini, gangguan yang paling umum terjadi adalah serangan hands- on-keyboard yaitu ketika serangan dilakukan oleh operator manusia alih-alih bot atau program. Secara keseluruhan, jumlah insiden gangguan interaktif ini naik sebesar 40 persen.
Sementara itu, jumlah iklan Access Broker juga mengalami peningkatan sebesar 147 persen di komunitas kriminal atau bawah tanah (underground). CrowdStrike mencatat bahwa mudahnya akses ke akun-akun valid yang ditawarkan untuk dijual sangat membantu pelaku kejahatan dalam melakukan tindakan kriminal siber. Di lain sisi, penjahat siber yang sudah mumpuni juga melakukan ini untuk mengasah taktik mereka sehingga tujuan mereka tercapai dengan lebih efisien.
Hal lain yang patut mendapatkan perhatian adalah terdapat lonjakan tiga kali lipat dalam pemanfaatan Linux privilege-escalation tool dalam mengeksploitasi lingkungan cloud. CrowdStrike mengamati adanya peningkatan tiga kali lipat jumlah insiden serangan pada Linux tool linPEAS yang digunakan pelaku untuk memperoleh akses ke metadata di lingkungan cloud, atribut jaringan, dan berbagai kredensial yang bisa mereka salah gunakan.
"Di saat berbicara tentang bagaimana cara menghentikan kejahatan siber, kita tidak bisa mengabaikan fakta bahwa para pelaku kejahatan ini terus bergerak dengan semakin lihai dan mereka menggunakan taktik yang sengaja dirancang untuk menghindari metode deteksi konvensional," kata Adam.
Menurut dia, para pemimpin keamanan perlu berdiskusi dengan tim mereka untuk mencari solusi yang dapat menghentikan pergerakan lateral pelaku serangan siber dalam waktu tujuh menit saja.
CrowdStrike mencatat LABYRINTH chollima, INDRIK Spider, dan VICE Spider sebagai tiga adversaries yang patut dikenali. LABYRINTH chollima adalah adversaries dari Republik Rakyat Demokratik Korea (DPRK) paling produktif yang dilacak oleh CrowdStrike dan telah aktif setidaknya sejak tahun 2009. CrowdStrike menilai adversaries ini kemungkinan berafiliasi dengan Biro 121 Biro Umum Pengintaian (RGB) DPRK.
Adapun INDRIK Spider adalah kelompok kriminal di balik pengembangan inti malware perbankan komoditas dan paling dikenal sebagai Dridex. Kelompok ini menjadi bagian dari keluarga ransomware BitPaymer (alias Friedex dan iEncrypt), WastedLocker, dan Hades. Kelompok ini juga sering disebut sebagai "Evil Corp" di ranah publik dan aktif mengembangkan Dridex sejak awal tahun 2014.
Sementara VICE Spider adalah eCrime yang telah melakukan operasi ransomware setidaknya sejak April 2021. Kelompok ini mulai menggunakan komoditas ransomware Zeppelin dan kemungkinan memperoleh kode sumber DeathKitty dari FERAL SPIDER versi Linux pada Mei 2021.
CrowdStrike sendiri merupakan pemimpin global terkemuka dalam keamanan siber yang telah memberikan makna baru dalam keamanan modern dengan salah satu platform cloud tercanggih di dunia. Upaya keamanan yang dilakukan adalah membentengi area risiko perusahaan yang kritis yaitu titik akhir dan beban kerja cloud, identitas, dan data.
Didukung oleh CrowdStrike Security Cloud dan kecerdasan buatan (AI) kelas dunia, platform CrowdStrike Falcon memanfaatkan indikator serangan real-time, kecerdasan ancaman, metode serangan yang terus berkembang dan telemetri yang diperkaya dari pengalaman di seluruh industri.
Hal tersebut dilakukan untuk memberikan pendeteksian yang akurat, perlindungan dan perbaikan otomatis, perburuan ancaman yang berkelas, serta pengamatan yang diprioritaskan terhadap kerentanan.
Dibangun khusus di cloud dengan rancangan lightweight-agent, platform Falcon memungkinkan pelaksanaan solusi secara cepat dan terukur, perlindungan dan kinerja yang unggul, kompleksitas minim, dan manfaat yang bersifat segera.
Editor: Achmad Zaenal M
Copyright © ANTARA 2023
