ASIATODAY.ID, JAKARTA – Group-IB, salah satu pemimpin keamanan siber global, meluncurkan panduan tahunan kedua untuk evolusi ancaman nomor satu “Ransomware Uncovered 2021/2022”.
Temuan dari edisi kedua laporan tersebut menunjukkan bahwa kerajaan ransomware mempertahankan kemenangan beruntunnya dengan permintaan tebusan rata-rata tumbuh sebesar 45% hingga mencapai $247.000 atau setara dengan Rp 3,6 milyar pada tahun 2021.
Geng-geng ransomware telah menjadi jauh lebih rakus sejak 2020. Uang tebusan yang memecahkan rekor sebesar $240 juta atau sekitar Rp 3,5 triliun ($30 juta atau setara dengan Rp439 milyar pada tahun 2020) diminta oleh Hive dari MediaMarkt. Hive dan pendatang baru lainnya pada tahun 2021 di Big Game Hunting, Grief, dengan cepat mencapai 10 geng teratas dengan jumlah korban yang diposting di situs kebocoran khusus ransomware (DLS).
Antara Q1 2021 dan Q1 2022, Asia Pasifik (APAC) menjadi wilayah ketiga yang paling sering menjadi sasaran setelah Amerika Utara dan Eropa berdasarkan analisis data korban yang diposting di ransomware DLS.
Data milik 335 perusahaan dari kawasan Asia Pasifik diunggah ke ransomware DLS dalam periode peninjauan.
“Top 10 Countries” di Asia-Pasifik berdasarkan jumlah perusahaan korban yang diposting di DLS adalah sebagai berikut: Australia (68), diikuti oleh India (48), Jepang (32), China (30), Taiwan (22 ), Hong Kong (20), Thailand (19), Indonesia (17), Singapura (17), Malaysia (14).
Antara Q1 2021 dan Q1 2022, informasi milik 17 perusahaan Indonesia telah diposting di DLS. Conti dan Avaddon menjadi geng ransomware paling agresif dengan 3 korban dari Indonesia masing-masing diposting di DLS dalam periode peninjauan. Vertikal industri yang paling sering menjadi sasaran di Indonesia adalah Energi (3 perusahaan data diposting di DLS) dan Sektor Keuangan (3 perusahaan korban).
Jalur perakitan ransomware
Laporan baru ini mencatat taktik, teknik, dan prosedur (TTP) terbaru dari pelaku ancaman ransomware yang diamati di semua lokasi geografis oleh tim Group-IB Digital Forensics and Incident Response (DFIR). Selain analisis lebih dari 700 serangan yang diselidiki sebagai bagian dari keterlibatan respons insiden Group-IB sendiri dan aktivitas intelijen ancaman siber pada tahun 2021, laporan tersebut juga memeriksa DLS ransomware.
Serangan ransomware yang dioperasikan manusia telah mempertahankan lanskap ancaman dunia maya global yang dipimpin oleh margin yang solid selama tiga tahun terakhir.
Munculnya broker akses awal yang dijelaskan dalam Tren Kejahatan Teknologi Tinggi Grup-IB laporan, dan perluasan program Ransomware-as-a-Service (RaaS), telah menjadi dua kekuatan pendorong utama di balik pertumbuhan operasi ransomware yang berkelanjutan. RaaS memungkinkan penjahat siber berketerampilan rendah untuk bergabung dalam permainan dan pada akhirnya membawa nomor korban.
Berdasarkan analisis lebih dari 700 serangan pada tahun 2021, para ahli DFIR Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 atau setara dengan Rp 3,6 milyar pada tahun 2021, 45% lebih tinggi dari tahun 2020. Ransomware berkembang dengan lebih canggih, yang terlihat jelas dari waktu henti korban, yang meningkat dari 18 hari pada tahun 2020 menjadi 22 hari pada tahun 2021.
Program RaaS mulai menawarkan afiliasi mereka tidak hanya ransomware tetapi juga alat khusus untuk eksfiltrasi data guna menyederhanakan dan merampingkan operasi. Dengan demikian, teknik pemerasan ganda menjadi semakin meluas – data korban yang sensitif dieksfiltrasi sebagai pengungkit untuk mendapatkan uang tebusan yang dibayarkan pada 63% kasus yang dianalisis oleh tim DFIR Grup-IB.
Lockbit, Conti, dan Pysa ternyata menjadi geng paling agresif dengan masing-masing 670, 640, dan 186 korban yang diunggah di DLS. Dua pendatang baru di tahun 2021, Hive and Grief (rebranding dari DoppelPaymer), dengan cepat mencapai liga Big Game Hunting dari 10 geng teratas, dihitung dari jumlah korban yang diposting di DLS.
Bot tidak seperti yang terlihat
Eksploitasi server RDP yang menghadap publik kembali menjadi cara paling umum untuk mendapatkan pijakan awal di jaringan target pada tahun 2021 – 47% dari semua serangan yang diselidiki oleh pakar DFIR Grup-IB dimulai dengan mengorbankan layanan jarak jauh eksternal.
Email phishing tombak yang membawa malware komoditas tetap berada di peringkat kedua (26%). Malware komoditas yang digunakan pada tahap awal telah menjadi semakin populer di kalangan pelaku ransomware. Namun, pada tahun 2021 atribusi serangan ransomware menjadi semakin rumit karena banyak bot seperti Emotet, Qakbot , dan IcedID digunakan oleh berbagai pelaku ancaman tidak seperti pada tahun 2020, ketika keluarga malware komoditas tertentu memiliki afiliasi kuat dengan geng ransomware tertentu. Misalnya, tim DFIR Grup-IB mengamati bahwa IcedID digunakan untuk mendapatkan akses awal oleh berbagai afiliasi ransomware, termasuk Egregor, REvil, Conti, XingLocker, RansomExx.
Secara umum, banyak afiliasi ransomware mengandalkan teknik hidup di luar negeri dan alat yang sah selama siklus serangan. Malware komoditas sering digunakan untuk memulai aktivitas pasca-eksploitasi melalui kerangka kerja pemuatan seperti Cobalt Strike (diamati pada 57% serangan).
Namun, beberapa geng ransomware terlihat mencoba pendekatan yang sangat tidak konvensional: afiliasi REvil memanfaatkan kerentanan zero-day untuk menyerang klien Kaseya. BazarLoader, digunakan dalam operasi Ryuk, didistribusikan melalui vishing (phishing suara). Email phishing berisi informasi tentang “langganan berbayar”, yang diduga dapat dibatalkan melalui telepon. Selama panggilan, pelaku ancaman memikat korban ke situs web palsu dan memberikan instruksi untuk mengunduh dan membuka dokumen yang dipersenjatai, yang mengunduh dan menjalankan BazarLoader.
“Mengingat beberapa rebranding yang dipaksakan oleh tindakan penegakan hukum serta penggabungan TTP karena migrasi afiliasi yang konstan dari satu program Ransomware-as-a-Service (RaaS) ke program lainnya, semakin menantang bagi profesional keamanan untuk melacaknya. taktik dan alat yang terus berkembang dari aktor ancaman ransomware,” kata Oleg Skulkin, kepala tim DFIR Grup-IB, dalam keterangannya, Kamis (19/5/2022).
“Untuk membantu keamanan siber perusahaan menavigasi dan mempersiapkan insiden ransomware, kami menguraikan tren utama dan perubahan TTP dan mengubahnya menjadi wawasan yang dapat ditindaklanjuti yang dipetakan dan diatur sesuai dengan matriks MITRE ATT&CK.” Jelasnya.
Laporan “Ransomware Uncovered” edisi 2021/2022 kedua menampilkan matriks MITRE ATT&CK® yang berisi informasi tentang TTP yang paling sering digunakan selama serangan ransomware yang dioperasikan manusia untuk membantu tim keamanan siber perusahaan bersiap menghadapi insiden ransomware.
Sebagai referensi, Group-IB adalah salah satu penyedia solusi terkemuka yang didedikasikan untuk mendeteksi dan mencegah serangan siber, mengidentifikasi penipuan online, investigasi kejahatan teknologi tinggi, dan perlindungan kekayaan intelektual, yang berkantor pusat di Singapura. Pusat penelitian dan intelijen ancaman perusahaan berlokasi di Timur Tengah (Dubai), Asia-Pasifik (Singapura), Eropa (Amsterdam), dan Rusia (Moskow).
Sistem Threat Intelligence & Attribution dari Group-IB dinobatkan sebagai salah satu yang terbaik di kelasnya oleh Gartner, Forrester, dan IDC. Kerangka Kerja Perburuan Ancaman Grup-IB (sebelumnya dikenal sebagai TDS) yang ditujukan untuk pencarian proaktif dan perlindungan terhadap ancaman siber yang kompleks dan sebelumnya tidak diketahui telah diakui sebagai salah satu pemimpin dalam Deteksi dan Respons Jaringan oleh lembaga analis terkemuka Eropa KuppingerCole Analysts AG, sementara Group-IB sendiri telah diakui sebagai Product Leader dan Innovation Leader.
Gartner mengidentifikasi Group-IB sebagai Vendor Perwakilan dalam Deteksi Penipuan Online untuk Platform Berburu Penipuannya. Selain itu, Group-IB dianugerahi penghargaan Innovation Excellence Frost & Sullivan untuk Digital Risk Protection (DRP) , platform berbasis Al untuk mengidentifikasi dan mengurangi risiko digital dan menangkal serangan peniruan identitas merek dengan teknologi yang dipatenkan perusahaan sebagai intinya. Kepemimpinan teknologi dan kemampuan R&D Group-IB dibangun di atas pengalaman langsung perusahaan selama 18 tahun dalam investigasi kejahatan dunia maya di seluruh dunia dan 70.000 jam respons insiden keamanan siber yang terakumulasi di laboratorium forensik terkemuka kami, departemen investigasi kejahatan berteknologi tinggi, dan jam CERT-GIB.
Group-IB adalah kolaborator aktif dalam investigasi global yang dipimpin oleh organisasi penegak hukum internasional, seperti Europol dan INTERPOL. Group-IB juga merupakan anggota dari Europol European Cybercrime Centre (EC3) Advisory Group on Internet Security yang dibentuk untuk mendorong kerjasama yang lebih erat antara Europol dan mitra non-penegak hukum terkemuka.
Pengalaman Group-IB dalam berburu ancaman dan intelijen siber telah menyatu ke dalam ekosistem solusi perangkat lunak dan perangkat keras yang sangat canggih yang dirancang untuk memantau, mengidentifikasi, dan mencegah serangan siber. Misi Group-IB adalah melindungi kliennya di dunia maya setiap hari, menciptakan dan memanfaatkan solusi & layanan inovatif. (AT Network)
Discussion about this post