Laporan tersebut mengungkapkan bahwa operasi ransomware tetap menjadi ancaman siber teratas bagi perusahaan publik dan swasta di seluruh dunia. Antara paruh kedua 2021 dan paruh pertama 2022, jumlah perusahaan yang informasinya diunggah ke Situs Kebocoran Khusus (DLS) ransomware naik 22% dari tahun ke tahun menjadi 2.886, termasuk data yang terkait dengan 322 perusahaan dari kawasan Asia Pasifik. Selama dua tahun berturut-turut, para peneliti Group-IB mengamati peningkatan dampak Initial Access Brokers (Pialang Akses Awal/IAB) terhadap pasar ransomware di APAC dan sekitarnya.
Group-IB mencatat 2.348 contoh akses jaringan perusahaan yang dijual di forum web gelap atau secara pribadi oleh IAB, dua kali lipat lebih banyak daripada periode sebelumnya. Jumlah pialang juga bertambah dari 262 menjadi 380, yang menyebabkan penurunan harga sehingga membuat serangan dari geng ransomware dan pelaku ancaman lainnya menjadi lebih terjangkau.
Di wilayah APAC, jumlah penawaran akses jaringan meningkat hampir tiga kali lipat menjadi 382 pada paruh kedua 2021 - paruh pertama 2022, yang menyebabkan penurunan harga total penawaran sebesar 32%. APAC terus menjadi medan operasi utama bagi nation-state cyber threat actors (pelaku ancaman siber negara-bangsa), dengan peneliti Group-IB mendeteksi aktivitas lebih dari 35 pelaku ancaman persisten tingkat lanjut (APT).
Selama 11 tahun berturut-turut, laporan Tren Kejahatan Hi-Tech menganalisis berbagai aspek operasi industri kejahatan siber, memeriksa serangan, dan memberikan perkiraan lanskap ancaman untuk berbagai sektor, seperti industri keuangan, telekomunikasi, manufaktur, dan energi.
Laporan ini menawarkan gambaran umum global tentang lanskap ancaman dan mencakup prediksi untuk perkembangan di masa depan. Pengalaman langsung Group-IB dalam menyelidiki kejahatan dunia maya ditambah dengan rangkaian produk dan layanan inovatif memungkinkan adanya pemahaman menyeluruh tentang tren dan aktivitas bawah tanah, serta prediksi jangka panjang guna membantu tim keamanan siber di seluruh dunia untuk menyesuaikan pertahanan siber mereka.
Peningkatan Penjualan Akses Korporat pada IABs
Antara paruh kedua 2021 dan paruh pertama 2022, unit Threat Intelligence Group-IB menganalisis iklan bawah tanah dan mengidentifikasi peningkatan yang signifikan dalam penjualan akses perusahaan. Tercatat ada sebanyak 2.348 contoh, yang berarti dua kali lebih banyak dari periode sebelumnya (1.099 penawaran akses). Dari jumlah tersebut, 2.111 penawaran memberikan informasi tentang negara dan 1.532 menyebutkan industri korban.
IAB telah secara signifikan memperluas kehadiran mereka di seluruh dunia, dengan jumlah negara yang jaringan korporatnya telah disusupi meningkat sebesar 41%: dari 68 menjadi 96 negara selama periode ini. Serupa dengan tahun sebelumnya, perusahaan yang berbasis di AS adalah target yang paling banyak dicari oleh IAB, dengan hampir seperempat dari semua penawaran akses yang ditemukan terkait dengan perusahaan AS (558). Industri yang paling terpengaruh oleh IAB adalah manufaktur (5,8% dari semua perusahaan), layanan keuangan (5,1%), industri real estate(4,6%), dan pendidikan (4,2%).
"Initial Access Brokers memainkan peran sebagai produsen minyak untuk seluruh ekonomi bawah tanah," kata Dmitry Volkov, CEO Group-IB.
"Mereka memicu dan memfasilitasi operasi penjahat lainnya, seperti ransomware dan musuh negara-bangsa. Sebab penjualan akses terus berkembang dan terdiversifikasi, IAB adalah salah satu ancaman utama yang harus diperhatikan pada tahun 2023. Perusahaan swasta dan publik di kawasan Asia Pasifik harus mempertimbangkan untuk menyiapkan program intelijen ancaman untuk memantau kredensial tenaga kerja mereka yang disusupi."
Wilayah Asia-Pasifik melihat sejumlah besar penawaran akses jaringan dengan India (16,8%) mencatat jumlah tertinggi, diikuti oleh Australia (12,8%), Tiongkok (11,8%), Indonesia (7,3%), Thailand (7,3%), Malaysia (4,5%), Taiwan (4,5%), Vietnam (4,2%), Jepang (3,4%), dan Singapura dengan 3,4% dari semua penawaran akses jaringan di wilayah ini yang terdeteksi antara paruh kedua 2021 dan paruh pertama 2022. Salah satu Initial Access Brokers paling produktif yang aktif di APAC, dijuluki NikaC, menawarkan akses ke jaringan tujuh perusahaan keuangan, terutama di Asia-Pasifik. Sebagian besar melibatkan akses ke email perusahaan manajer puncak.
Sejalan dengan tren global, total biaya penawaran akses ke jaringan perusahaan Asia Pasifik yang diperdagangkan di forum bawah tanah menurun 32,3% menjadi $2.238.924, karena peningkatan pasokan yang signifikan. Jumlah penawaran akses jaringan terkait APAC hampir tiga kali lipat dari 133 pada paruh kedua 2020 – paruh pertama 2021 menjadi 382 pada periode berikutnya, yang menjelaskan peningkatan jumlah insiden ransomware di wilayah tersebut.
Dalam periode peninjauan, geng ransomware memposting informasi sensitif milik 322 perusahaan APAC di DLS. Tim Group-IB menyoroti bahwa tim keamanan siber perusahaan yang efektif harus mempertimbangkan pengetahuan yang relevan tentang penyerang yang aktif di wilayah tersebut dan menyarankan untuk mempertimbangkan solusi berdasarkan data dari investigasi siber dunia nyata dan operasi respons insiden di APAC.
Analisis Risiko Serangan Ransomware pada Perusahaan di Seluruh Dunia dan di Asia Pasifik
Laporan tersebut menemukan bahwa ransomware terus menjadi ancaman utama bagi perusahaan di seluruh dunia, dengan 2.886 perusahaan yang informasi, file, dan datanya dipublikasikan di ransomware DLS antara paruh kedua 2021 dan paruh pertama 2022, meningkat 22% dibandingkan dengan 2.371 perusahaan yang terpengaruh selama periode sebelumnya (paruh kedua 2020 – paruh pertama 2021). Perlu dicatat bahwa jumlah sebenarnya dari serangan ransomware diyakini jauh lebih tinggi karena banyak korban memilih untuk membayar tebusan dan beberapa geng ransomware tidak menggunakan DLS.
Berdasarkan analisis ransomware DLS, Group-IB menemukan bahwa perusahaan-perusahaan di Amerika Utara (50% perusahaan yang datanya dibocorkan oleh geng ransomware) adalah yang paling berimbas pada bentuk serangan ini. Secara komparatif, wilayah APAC adalah wilayah ketiga yang paling terpengaruh, dengan 322 perusahaan yang datanya dipublikasikan di DLS. Pasar utama yang terkena dampak di wilayah ini adalah Australia (55 perusahaan), India (38 perusahaan), Tiongkok (37 perusahaan), Jepang (31 perusahaan), dan Thailand (27 perusahaan). Selain itu, 17 perusahaan di Singapura memiliki informasi yang dipublikasikan di DLS.
Geng ransomware paling produktif di pasar APAC adalah Lockbit, yang bertanggung jawab atas 41% publikasi dari wilayah tersebut di situs kebocoran khusus. Geng kedua dalam daftar ini adalah Conti, grup ransomware berbahasa Rusia yang meluncurkan kampanye ARMattack yang menghancurkan pada akhir tahun 2021, yang bertanggung jawab atas 7% kebocoran, dan geng ketiga adalah Hive (6% kebocoran).
Analisis Group-IB tentang ancaman yang ditimbulkan oleh geng ransomware juga mengungkapkan bahwa secara global, jumlah terbesar korban kebocoran data terkait ransomware ditemukan di sektor-sektor berikut: manufaktur (295 perusahaan), real estat (291), layanan profesional (226), dan industri transportasi (224). Di wilayah APAC, sebagian besar korban yang diposting di DLS menjalankan bisnis di sektor manufaktur (45), keuangan (20), dan energi (15).
"Geng Ransomware telah mampu menciptakan pasar yang stabil untuk perusahaan kriminal mereka, dan tuntutan tebusan yang dikeluarkan untuk perusahaan setelah mereka diserang terus meningkat dengan cepat. Banyak dari geng ransomware yang paling menonjol telah berubah menjadi perusahaan rintisan kriminal. Mereka memiliki hierarki yang kaku dan bonus untuk pencapaian yang berlebihan. Meskipun tren pertumbuhan mungkin melambat, kemungkinan pasar ransomware dapat berkonsolidasi lebih lanjut, melanjutkan tren yang terlihat pada paruh kedua 2021 – paruh pertama 2022."
Kegiatan Siber yang Mampu Mencuri Pusat Perhatian
Salah satu perubahan yang paling menonjol pada lanskap ancaman global adalah meningkatnya popularitas log yang diperoleh dengan menggunakan info stealers (pencuri informasi) - malware yang mengumpulkan detail pribadi dari metadata browser pengguna. Pencuri ini bisa mendapatkan kredensial, kartu bank, cookie, sidik jari peramban, dll.
Group-IB menemukan bahwa antara 1 Juli 2021 dan 30 Juni 2022, lebih dari 96 juta log ditawarkan untuk dijual, dengan sebagian besar data yang disusupi berasal dari pengguna AS (80%), dengan Inggris (5,4%), India (4,6%), Indonesia (2,4%), dan Brasil (2%) mengikuti.
Para ahli Group-IB menemukan lebih dari 400.000 log Single Sign-On di antara 96 juta log ini. SSO adalah metode autentikasi perusahaan yang digunakan secara luas yang menggunakan sepasang kredensial tunggal untuk mendapatkan akses ke beberapa layanan, membuatnya sangat dicari oleh penjahat siber karena memungkinkan mereka masuk ke dalam beberapa sistem sekaligus dengan sedikit usaha. Seperti yang ditemukan oleh para peneliti Group-IB, aktor ancaman di balik serangan baru-baru ini terhadap Uber membeli log stealer di salah satu pasar bawah tanah seharga 20 dolar AS. Log ini berisi kredensial SSO dari setidaknya dua karyawan Uber.
"Cukup memprihatinkan, apa yang mampu dilakukan oleh penjahat siber dengan US$20 dan keterampilan teknis yang sederhana saat ini," kata Dmitry Volkov, CEO di Group-IB.
"Dengan pekerjaan jarak jauh dan layanan SSO menjadi lebih lazim, contoh akses ke jaringan perusahaan mulai lebih sering muncul dalam log pencuri. Serangan terhadap perusahaan melalui karyawan mereka akan menjadi salah satu vektor infeksi utama. Tidak ada solusi utama untuk melawan serangan semacam itu."
"Tren ini menyoroti kebutuhan perusahaan untuk meningkatkan keamanan siber mereka di semua lapisan, termasuk melatih karyawan untuk menanggapi rekayasa sosial, meningkatkan kemampuan deteksi dan respons, dan tentu saja, memantau bawah tanah penjahat siber untuk catatan karyawan yang disusupi dan penawaran untuk menjual akses ke jaringan mereka."
APAC - Teater Utama Operasi APT
Tim Threat Intelligence Group-IB menemukan bahwa jumlah serangan terbesar yang dilakukan oleh aktor ancaman negara-bangsa terjadi di kawasan Asia-Pasifik. Antara paruh kedua 2021 – paruh pertama 2022, aktivitas lebih dari 35 kelompok APT terdeteksi di APAC. Pelaku ancaman dari India, Tiongkok, Taiwan, Korea Selatan, dan Vietnam adalah yang paling aktif.
Akibat meningkatnya ketegangan di dunia maya secara global, para pemain baru telah muncul. Misalnya, pada akhir tahun 2022, para peneliti Group-IB menemukan APT Dark Pink yang sebelumnya tidak diketahui yang diyakini berasal dari kawasan Asia Pasifik. Korban Dark Pink yang sudah dikonfirmasi termasuk dua badan militer di Filipina dan Malaysia, lembaga pemerintah di Kamboja, Indonesia, dan Bosnia dan Herzegovina, dan sebuah organisasi keagamaan di Vietnam.
"Tidak mengherankan bahwa mayoritas korban APT yang diketahui adalah organisasi pemerintah dan militer (33%), diikuti oleh perusahaan keuangan (6,3%) dan telekomunikasi (5,8%)," kata Dmitry Volkov.
"Lingkungan politik yang tegang akan menyebabkan peningkatan lebih lanjut dalam serangan terhadap infrastruktur energi, telekomunikasi, dan manufaktur pada tahun 2023. Tidak hanya kelompok yang bermotif politik yang akan sangat aktif, tetapi juga penjahat siber yang digerakkan oleh keuangan. Hal ini dapat menyebabkan serangan DDoS yang luas dan kebocoran substansial informasi sensitif, serta pencurian keuangan besar-besaran."
Sumber : https://www.laptophia.com/2023/01/initial-access-brokers-pemicu-serangan.html
Comments
Post a Comment