Trellix Temukan Peningkatan Serangan Siber pada Infrastruktur Penting

Published: 08 May 2022, oleh NanaMiku

Trellix adalah perusahaan keamanan siber yang menghadirkan masa depan deteksi dan respons yang diperluas (XDR). Mereka telah merilis Threat Labs Report: April 2022 yang memeriksa perilaku dan aktivitas cybercriminal dalam enam bulan terakhir. Penemuan-penemuan penting dari laporan ini mencakup konsumen individu sebagai target utama pelaku kejahatan siber, diikuti oleh industri vertikal kesehatan. Industri transportasi, pengiriman barang, manufaktur, dan teknologi informasi menunjukan peningkatan jumlah ancaman.

“Saat ini kita berada pada persimpangan kritis dalam keamanan siber dan kami mengamati meningkatnya perilaku agresif pada wilayah serangan siber yang semakin luas,” Kata Christiaan Beek, Lead Scientist and Principal Engineer, Trellix Threat Labs. “Dunia kita telah berubah secara fundamental. Kuartal ke-4 menandakan pergeseran dari pandemi yang terjadi selama dua tahun, di mana periode tersebut digunakan oleh penjahat siber untuk mengambil keuntungan serta kerentanan Log4Shell yang berdampak pada ratusan juta perangkat, dan melanjutkan momentum siber pada tahun yang baru – hal ini tergambar melalui eskalasi aktivitas siber di skala internasional.”

Ancaman terhadap Infrastruktur Penting

Kuartal ke-4 tahun 2021 menggambarkan peningkatan aktivitas siber yang menargetkan sektor-sektor penting terhadap fungsi masyarakat sebagai berikut:

• Transportasi dan pengiriman sebanyak 27% dari keseluruhan deteksi APT – aktivitas ayng dilakukan oleh aktor jahat atau tersembunyi.
• Kesehatan sebagai sasaran kedua yang diserang, sebanyak 12% dari total deteksi.
• Ancaman terhadap bidang manufaktur meningkat 100% dari kuartal 3-4 pada tahun 2021, dan ancaman terhadap teknologi informasi meningkat sebsar 36% pada periode yang sama.
• Sektor transportasi menjadi targer sebesar 62% dari keseluruhan deteksi yang diamati pada kuartal 4 tahun 2021.

Awal bulan ini, Trellix merilis Laporan Kesiapan Siber global yang menyelidiki bagaimana penyedia infrastruktur penting mempersiapkan diri untuk bertahan dari serangan siber. Laporan tersebut menemukan bahwa meskipun ada serangan tingkat tinggi, banyak penyedia infrastruktur penting belum menerapkan praktik terbaik untuk keamanan siber mereka.

Ancaman terhadap Ukraina

Trellix Threat Labs telah menyelidiki malware penghapus (wiper) dan ancaman siber lainnya yang menargetkan Ukraina. Wiper membuat perangkat dalam organisasi menjadi tidak berfungsi dengan menghapus catatan kritis master boot mereka, memori penting yang mencatat bagaimana perangkat-perangkat tersebut beroperasi. Analisis Trellix dari malware Whipergate dan HermeticWiper yang digunakan sebelum dan selama invasi militer Rusia ke Ukraina merinci persamaan den perbedaan dari dua jenis tersebut dan membandingkannya dengan malware serupa. HermeticRansom, IsaacWiper, dan DoubleZero digunakan untuk mengacaukan sistem TI Ukraina selama periode kritis ini dengan menghancurkan komunikasi dalam negeri.

Laporan terbaru ini mencantumkan aktor-aktor serangan yang mempunyai hubungan dengan Rusia, dan menargetkan Ukraina seperti Actinium APT, Gamaredon APT, Nobelium APT (juga dikenal sebagai APT29), UAC-0056, dan Shuckworm APT. Dari semua aktivitas APT Trellix yang diamati pada kuartal 4 2021, APT29 menyumbang 30% dari total deteksi serangan.

Laporan ini juga merinci organisasi yang ingin melindungi lingkungan kerja mereka dari pelaku kejahatan siber. Untuk informasi lebih lanjut tentang akviitas dunia maya yang menargetkan Ukraina, kunjungi Trellix Threat Center dan blog Threat Labs.

Taktik, Teknik, & Prosedur

Trellix mengamati kelanjutan penggunaan metode serangan Living of the Land (LoTL), di mana penjahat menggunakan perangkat lunak yang ada dan mengontrol perangkat asli untuk mengeksekusi serangan, dengan menggunakan Windows Command Shell (CMD) (53%) dan PowerShell (44%) merupakan binari NativeOS yang paling sering digunakan, dan layanan jarak jauh (36%) sebagai alat administrative yang paling sering digunakan.

Trellix Threat Labs baru-baru ini menemukan teknik LoTL digunakan oleh DarkHotel, grup APT berbasis di Korea Selatan, yang memanfaatkan file Excel untuk berhasil menyusup ke hotel mewah dan mengumpulkan informasi tentang tamu terkenal yang berpergian untuk bekerja dan konferensi.

Awal tahun ini, Threllix Threat Labs juga mengidentifikasi serangan spionase bertahap pada kantor perdana Menteri untuk mengawasi pejabat tinggi pemerintah dan eksekutif bisnis sektor pertahanan. Kampanye serangan ini menampilkan penggunaan Microsoft OneDrive sebagai server Command and Control (C2) dan Excel untuk mendapatkan akses ke lingkungan korban.

Metode dan Teknik serangan siber lainnya yang semkain banyak dalam beberapa bulan terakhir adalah:

• Cobalt Strike menempati peringkat tertinggi di antara alat yang digunakan oleh grup APT di kuartal 4 2021 – meningkat 95% dari kuartal 3.
• File atau informasi yang dikaburkan, diikuti oleh kredensial dari browser web, dan penemuan file dan direktori adalah teknik yang paling banyak ditemukan pada kuartal 4 2021.
• Malware paling sering digunakan dalam insiden yang dilaporkan di kuartal 4 2021 terhigun 46% dari total insiden – meningkat 15% dari kuartal 3 2021.

Ancaman bagi Individu

Secara khusus, laporan ini menemukan peningkatan signifikan yaitu 73% dalam insiden siber yang menargetkan individu dan menempatkan perorangan sebagai sektor serangan teratas pada kuartal 4 2021. Ini termasuk ancaman yang dilakukan lewat media sosial, perangkat seluler, dan layanan lain tempat konsumen menyimpan data dan kredensial. Contohnya, pada kuartal 4 2021 Facebook menemukan jenis serangan spyware yang menargetkan pengguna di seluruh dunia serta ditemukan kelompok kriminal lain yang memanfaatkan malware joker yang menargetkan pengguna Android di seluruh dunia. Serangan-serangan ini biasanya bermotivasi politik untuk mengikuti interaksi dan kontak seseorang.

Temuan ini menyambung pada rilis yang dilaporkan oleh Trellix dan Center for Strategic and International Studies, In the Crosshairs: Organizations and Nations-State Cyber Threats, yang menggambarkan akses ke data konsumen dan kemungkinan akan terus menjadi motif dari hampir separuh serangan siber yang didukung oleh negara tertentu.

Aktivitas ancaman pada kuartal 4 tahun 2021

• Keluarga Ransomware. Lockbit (21%) adalah keluarga ransomware paling umum yang terdeteksi pada kuartal 4 2021 – meningkat 21% dari kuartal 3 – diikuti oleh Kuba (18%), dan Conti (16%).
• Penangkapan Ransomware. REvil/Sodinokibi, Keluarga Ransomware teratas yang terdeteksi pada kuartal 3 2021, tidak menempati peringkat di antara deteksi paling umum di kuartal 4 karena intervensi Penegakan Hukum Global.
• Peningkatan Ransomware. Peningkatan substansial dalam aktivitas ransomware diamati di Italia (793%), Belanda (318%), dan Swiss (173%) pada kuartal 4 2021. India (70%) dan Inggris (47%) juga mengalami peningkatan yang mencolok dibandingkan dengan kuartal 3.
• Keluarga Malware. RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%), dan Formbook (12%) berjumlah hampir 75% dari keluarga malware yang diamati pada kuartal 4 2021.

Metodologi

Laporan Threat Labs: April 2022 memanfaatkan data kepemilikan dari jaringan Trellix yang terdiri dari lebih dari satu miliar sensor bersama dengan intelijen sumber terbuka dan investigasi Trellix Threat Labs terhadap ancaman umum seperti ransomware dan aktivitas negara-bangsa. Telemetri yang terkait dengan deteksi ancaman digunakan untuk tujuan laporan ini. Sebuah deteksi ditentukan pada saat file, URL, alamat IP, atau indikator lainnya tedeteksi melalui ekosistem Trellix XDR.

Sumber tambahan

• Laporan: Threat Labs Report: April 2022
• Blog: Trellix Threat Labs Report: Cyberattacks Targeting Critical Infrastructure Rise Along with Geopolitical Tensions
• Laman: Trellix Threat Center

news Trellix XDR keamanan virus malware serangan siber cyber infrastruktur laporan report perusahaan aktivitas kejahatan ukraina perlindungan organisasi Internet teknologi informatika komunikasi software hardware