Laporan Wartawan Tribunnews, Choirul Arifin
TRIBUNNEWS.COM, JAKARTA - Perusahaan keamanan siber Sophos merilis hasil riset terbaru bertajuk “Active Adversary Playbook 2022."
Riset ini merinci perilaku penyerang yang terdeteksi oleh tim Rapid Response dari Sophos di ruang siber selama tahun 2021.
Laporan tersebut menyebutkan adanya lonjakan dwell time sebesar 36 persen dengan dwell time penyusup rata-rata selama 15 hari di 2021 dibandingkan dengan 11 hari di 2020.
Baca juga: Pakar Komunikasi Publik: Gunakan Fitur Proteksi Demi Hindari Serangan Siber
Laporan tersebut juga mengungkapkan dampak kerentanan di ProxyShell Microsoft Exchange, yang menurut Sophos dimanfaatkan oleh beberapa Initial Access Brokers (IAB) untuk menyusup ke jaringan dan kemudian menjual akses itu ke para penyerang lain.
“Kejahatan yang terjadi di dunia maya sangat beragam dan telah menjadi sesuatu yang terspesialisasi. IAB telah mengembangkan industri kejahatan siber dengan menyusupi sebuah target, melakukan pengintaian eksplorasi atau memasang backdoor, dan kemudian menjual akses turn-key ke grup ransomware untuk melakukan serangan-serangan yang mereka lakukan sendiri,” kata John Shier, senior security advisor di Sophos dalam keterangan pers tertulis, Sabtu, 20 Agustus 2022.
Dalam lanskap ancaman siber berbasis spesialisasi yang semakin dinamis ini, akan sulit bagi perusahaan untuk memahami penggunaan alat dan pendekatan yang selalu berubah-ubah yang dilakukan oleh para penyerang.
"Sangat penting bagi para penjaga keamanan untuk memahami apa yang harus dicari pada setiap tahap rantai serangan yang terjadi, sehingga mereka dapat mendeteksi dan menetralisir serangan secepat mungkin," kata John Shier.
Penelitian Sophos juga menunjukkan, dwell time penyusup dilakukan lebih lama di lingkungan perusahaan yang lebih kecil. Para penyerang dapat bertahan selama kurang lebih 51 hari di perusahaan yang memiliki karyawan hingga 250 orang, sementara mereka biasanya menghabiskan 20 hari di perusahaan dengan 3.000 hingga 5.000 karyawan.
Baca juga: Ancaman Serangan Siber Jadi Perhatian Jelang KTT G20 di Bali
“Para penyerang menganggap perusahaan-perusahaan yang lebih besar lebih berharga, sehingga mereka lebih termotivasi untuk masuk mendapatkan apa yang mereka inginkan, dan keluar. Perusahaan-perusahaan yang lebih kecil memiliki 'nilai' yang lebih sedikit, sehingga penyerang dapat mengintai di sekitar jaringan untuk waktu yang lebih lama," lanjut John Shier.
Temuan-temuan tambahan dalam laporan eiset tersebut antara lain:
1. Dwell time rata-rata para penyerang sebelum terjadi deteksi akan lebih lama untuk melakukan intrusi "siluman", di mana saat itu belum berkembang menjadi serangan besar seperti ransomware, dan untuk perusahaan-perusahaan dan sektor-sektor industri yang lebih kecil dengan sumber daya keamanan TI yang lebih sedikit. Dwell time rata-rata untuk perusahaan-perusahaan yang terkena ransomware adalah 11 hari. Bagi mereka yang telah disusupi, tetapi belum terpengaruh oleh serangan besar, seperti ransomware (23 persen dari semua insiden yang diselidiki), mengalami dwell time rata-rata selama 34 hari. Perusahaan-perusahaan di sektor pendidikan atau dengan karyawan kurang dari 500 juga memiliki dwell time yang lebih lama.
2. Dengan dwell time yang lebih lama dan keadaan titik masuk yang terbuka membuat organisasi-organisasi rentan terhadap banyak penyerang. Bukti forensik mengungkap contoh di mana beberapa musuh, termasuk IAB, grup ransomware, cryptominers, dan kadang-kadang bahkan beberapa operator ransomware, menargetkan secara bersamaan organisasi-organisasi yang sama.
Baca juga: Survei: 64 Persen Perusahaan di Asia Terdampak Serangan Siber, Pelanggaran Privasi Amat Mencemaskan
3. Meskipun terjadi penurunan pada penggunaan Remote Desktop Protocol (RDP) untuk melakukan akses eksternal, para penyerang meningkatkan penggunaan alat untuk internal lateral movement. Di 2020, para penyerang menggunakan RDP untuk aktivitas eksternal di 32 persen kasus yang dianalisis, tetapi ini menurun menjadi 13 persen pada tahun 2021.
4. Sebanyak 50 persen insiden ransomware melibatkan data exfiltration yang telah terkonfirmasi – dan dengan data yang tersedia, kesenjangan rata-rata yang terjadi antara pencurian data dan penyebaran ransomware adalah 4,28 hari. Sebanyak 73 persen insiden yang ditanggapi Sophos pada tahun 2021 melibatkan ransomware. Dari insiden ransomware ini, 50% juga melibatkan data exfiltration. Data exfiltration sering kali merupakan tahap terakhir serangan sebelum ransomware dirilis, dan investigasi insiden mengungkapkan kesenjangan rata-rata di antara mereka adalah 4,28 hari dan median adalah 1,84 hari
5. Conti merupakan grup ransomware paling produktif yang terlihat pada tahun 2021, terhitung 18% dari insiden yang terjadi secara keseluruhan. Ransomware REvil menyumbang satu dari 10 insiden, sementara ransomware umum lainnya termasuk DarkSide, RaaS di balik serangan terkenal terhadap Colonial Pipeline di AS dan Black KingDom, salah satu ransomware "baru" yang muncul pada Maret 2021 setelah terjadinya kerentanan pada ProxyLogon.
Baca juga: Ancaman Serangan Siber Jadi Perhatian Jelang KTT G20 di Bali
“Tanda-tanda berbahaya yang harus diwaspadai oleh para penjaga keamanan termasuk pendeteksian menggunakan alat yang legal, menggunakan kombinasi alat, atau aktivitas di tempat yang tidak terduga atau pada waktu yang tidak biasa,” kata John Shier.