Penjahat Siber Pakai Taktik Serangan Spyware Baru untuk Curi Data Perusahaan
Selama paruh pertama tahun 2021, para ahli Kaspersky ICS CERT melihat anomali aneh dalam statistik ancaman spyware yang diblokir di komputer ICS (industrial computer system). Ada serangkaian kampanye serangan spyware baru yang berkembang pesat. Menyerang lebih dari 2.000 perusahaan industri di seluruh dunia.
Tidak seperti banyak kampanye spyware arus utama, serangan ini menonjol karena terbatasnya jumlah target di setiap serangan. Padahal, malware yang digunakan dalam serangan ini milik keluarga spyware terkenal seperti Agen Tesla/Origin Logger, HawkEye, dan lainnya. Keanehan lain adalah masa hidup yang sangat singkat dari setiap sampel berbahaya. Studi ini mengidentifikasi lebih dari 25 pasar (marketplace) tempat data curian dijual.
”Sepanjang tahun 2021, para pelaku kejahatan siber secara ekstensif menggunakan spyware untuk menyerang komputer industri. Hari ini kita menyaksikan tren baru yang berkembang pesat di lanskap ancaman industri,” kata Kirill Kruglov, pakar keamanan di Kaspersky ICS CERT.
Analisis lebih dekat terhadap 58.586 sampel spyware yang diblokir di komputer ICS pada semester pertama 2021 mengungkapkan bahwa sekitar 21,2% di antaranya adalah bagian dari rangkaian serangan terbatas dan jangka pendek tersebut. Siklus hidup mereka terbatas pada sekitar 25 hari, yang jauh lebih sedikit dari pada masa hidup spyware ‘tradisional’ lainnya.
Meskipun masing-masing sampel spyware anomali ini berumur pendek dan tidak didistribusikan secara luas, mereka bertanggung jawab atas bagian yang tidak proporsional dari seluruh serangan spyware. Di Asia, misalnya, setiap komputer keenam yang diserang oleh spyware merupakan salah satu sampel spyware anomali (2,1% dari 11,9%).
Khususnya, sebagian besar kampanye ini disebarkan dari satu perusahaan industri ke perusahaan lain melalui email phishing yang dibuat dengan sangat baik. Setelah menembus ke dalam sistem korban, penyerang menggunakan perangkat sebagai server C2 (perintah dan kontrol) serangan berikutnya. Dengan akses ke milis korban, pelaku kejahatan siber dapat menyalahgunakan email perusahaan dan menyebarkan spyware lebih jauh. “Kami memperkirakan jumlah total akun perusahaan yang disusupi atau dicuri sebagai akibat dari serangan spyware tersebut mencapai lebih dari 7.000,” tambah Kruglov.
Kaspersky: Persentase komputer ICS di mana spyware diblokir pada enam bulan pertama 2021
Data sensitif yang diperoleh dari komputer ICS sering berakhir di berbagai pasar. Pakar Kaspersky mengidentifikasi lebih dari 25 pasar berbeda di mana kredensial curian dari serangan industri ini dijual. Analisis pasar tersebut menunjukkan permintaan yang tinggi untuk kredensial akun perusahaan, terutama untuk Akun Desktop Jarak Jauh (RDP/remote dekstop protocol).
Lebih dari 46% dari semua akun RDP yang dijual di pasar yang dianalisis dimiliki oleh perusahaan di Amerika Serikat, sedangkan sisanya berasal dari Asia, Eropa, dan Amerika Latin. Hampir 4% (hampir 2.000 akun) dari semua akun RDP yang dijual adalah milik perusahaan industri.
“Untuk menghindari deteksi, mereka mengecilkan ukuran setiap serangan dan membatasi penggunaan setiap sampel malware dengan segera menggantinya dengan yang baru. Taktik lain termasuk penyalahgunaan besar-besaran infrastruktur email perusahaan untuk menyebarkan malware. Ini berbeda dari apa pun yang telah para ahli amati pada kampanye spyware sebelumnya dan kami mengantisipasi serangan semacam itu mendapatkan daya tarik di tahun mendatang,” komentar Kirill Kruglov, pakar keamanan di Kaspersky ICS CERT.
Untuk memastikan perlindungan yang memadai dari perusahaan industri, operasi jaringan bisnis dan mitra, para ahli Kaspersky merekomendasikan untuk nenerapkan autentikasi dua faktor untuk akses email perusahaan dan layanan lain yang terhubung ke internet, termasuk RDP, gateway VPN-SSL, dan lainnya. Lalu, memastikan bahwa semua titik akhir, baik di jaringan TI maupun OT, dilindungi dengan solusi keamanan titik akhir modern yang dikonfigurasi dengan tepat dan selalu diperbarui. Kemudian, secara teratur memeriksa folder spam daripada hanya mengosongkannya, dan lainnya.