Pelaku kejahatan di Internet mengetahui arti pelayanan. Dalam laporan yang dirilis pada hari Selasa mengenai ancaman digital untuk paruh pertama tahun 2024, perusahaan keamanan siber AI global menemukan bahwa banyak ancaman paling umum yang terjadi selama periode ini banyak menggunakan alat malware-as-a-service (MaaS).
Laporan oleh Jejak gelapBerdasarkan analisis data penerapan pelanggan perusahaan, dikatakan bahwa semakin populernya MaaS disebabkan oleh pendapatan ekosistem MaaS berbasis langganan yang menguntungkan, serta rendahnya hambatan masuk dan tingginya permintaan.
Dengan menawarkan malware plug-and-play yang sudah dikemas sebelumnya, pasar massal telah memungkinkan penyerang yang tidak berpengalaman sekalipun untuk melakukan serangan yang mengganggu, terlepas dari tingkat keahlian atau kemampuan teknis mereka, tambah laporan itu.
Laporan tersebut memperkirakan bahwa MaaS akan mendominasi lanskap ancaman di masa depan. Kegigihan ini menyoroti sifat adaptif dari strain MaaS, yang dapat mengubah taktik, teknik dan prosedur (TTP) dari satu kampanye ke kampanye lainnya dan melewati alat keamanan tradisional, katanya.
“Kecanggihan layanan malware-as-a-service diperkirakan akan meningkat karena permintaan akan alat serangan yang lebih kuat, tantangan bagi profesional keamanan siber, dan kebutuhan akan kemajuan dalam strategi pertahanan,” kata Callie Guenther, manajer senior Cyber Threat Riset. Awal yang sulitBadan Pelayanan Keamanan Siber Nasional.
“Penawaran MaaS ini memperkenalkan vektor serangan baru dan adaptif, seperti skema phishing canggih dan malware polimorfik, yang terus berkembang untuk menghindari deteksi,” katanya kepada TechNewsWorld. “Munculnya malware-as-a-service mewakili tantangan transformatif dalam dunia keamanan siber. Hal ini telah mendemokratisasi kejahatan dunia maya dan memperluas cakupan ancaman.
Malware lama semakin berkembang dalam serangan modern
Darktrace melaporkan bahwa banyak alat MaaS seperti Amadey dan Raspberry Robin telah menggunakan banyak kelompok malware dari tahun-tahun sebelumnya. Spesies MaaS sering mengubah TTP mereka dari satu kampanye ke kampanye lainnya, dengan banyak spesies yang tetap tidak berubah dan masih mencapai kesuksesan. Dikatakan bahwa beberapa tim dan organisasi keamanan masih tertinggal dalam mengamankan lingkungan sekitar mereka.
“Keberhasilan yang berkelanjutan dari jenis malware lama menunjukkan bahwa banyak organisasi masih memiliki kerentanan yang signifikan dalam lingkungan keamanan mereka,” kata Frank Downs, Direktur Senior Layanan Proaktif. Biru UnguSebuah perusahaan keamanan cyber perusahaan di New York City.
“Hal ini mungkin disebabkan oleh sistem yang sudah ketinggalan zaman, perangkat lunak yang belum di-patch, atau kurangnya langkah-langkah keamanan yang komprehensif,” katanya kepada TechNewsWorld. “Masih adanya ancaman-ancaman lama ini menunjukkan bahwa beberapa organisasi mungkin tidak cukup berinvestasi dalam pertahanan keamanan siber atau gagal mengikuti praktik terbaik untuk pemeliharaan dan pembaruan sistem.”
Roger Grimes, Penginjil Pertahanan Tahu Menjadi4Penyedia pelatihan kesadaran keamanan di Clearwater, Florida, menambahkan bahwa sebagian besar perangkat lunak pendeteksi anti-malware tidak sebaik yang diklaim vendornya.
“Organisasi perlu mengetahui bahwa mereka tidak dapat mengandalkan deteksi malware yang 100% efektif dan perlu merespons serta melindunginya dengan tepat,” katanya kepada TechNewsWorld. “Perangkat lunak anti-malware saja tidak akan menyelamatkan sebagian besar organisasi. Semua organisasi memerlukan banyak pertahanan dalam beberapa lapisan untuk mendeteksi dan melindungi dengan sebaik-baiknya.”
Orang-orang yang putus asa dalam bidang digital
Temuan lain dalam laporan ini adalah bahwa “eksploitasi ganda” lazim terjadi pada jenis ransomware. Dengan eksploitasi ganda, pelaku kejahatan tidak hanya mengenkripsi data targetnya, tetapi juga menghapus file sensitif dengan ancaman publikasi jika uang tebusan tidak dibayarkan.
“Eksploitasi Ganda dimulai pada November 2019 dan dalam beberapa tahun mencapai tingkat 90% dari seluruh ransomware yang menggunakan taktik ini,” kata Grimes.
“Ini populer karena bahkan korban dengan cadangan yang sangat baik tidak sepenuhnya menyangkal risiko tersebut,” lanjutnya.
“Persentase korban yang membayar uang tebusan telah menurun secara signifikan dari waktu ke waktu, namun mereka yang membayar untuk melindungi data rahasia yang dicuri agar tidak dipublikasikan atau digunakan dalam serangan di masa depan terhadap penyerang yang sama akan membayar lebih banyak,” katanya.
Matthew Corwin, Direktur Pelaksana Solusi Pedoman, sebuah firma keamanan, kepatuhan, dan investigasi global, ancaman ganda eksploitasi menjadikan kebutuhan akan program pencegahan kehilangan data menjadi semakin penting bagi organisasi. “Penerapan DLP untuk semua titik akhir dan aset cloud lainnya harus mencakup klasifikasi data, penegakan kebijakan, pemblokiran waktu nyata, karantina, dan peringatan,” katanya kepada TechNewsWorld.
Menyerang Tepi
Darktrace melaporkan bahwa selama enam bulan pertama tahun ini, pelaku kejahatan terus mengeksploitasi kerentanan pada perangkat infrastruktur edge seperti Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server, dan banyak lagi. Jaringan Palo Alto Geser mereka.
Laporan tersebut menjelaskan bahwa kompromi awal pada sistem ini dapat berfungsi sebagai batu loncatan bagi pelaku kejahatan untuk melakukan aktivitas lebih lanjut seperti perkakas, pengawasan jaringan, dan pergerakan lateral.
“Dengan mengkompromikan perangkat edge, penyerang dapat memperoleh kendali strategis pada jaringan, memungkinkan mereka memantau dan mencegat lalu lintas data saat melewati titik-titik ini,” jelas Downs.
“Ini berarti bahwa perangkat edge yang digunakan secara hati-hati dapat memberikan penyerang akses ke banyak informasi perusahaan, termasuk data sensitif, tanpa harus membahayakan banyak sistem internal,” lanjutnya. “Hal ini tidak hanya membuat serangan menjadi lebih efisien namun juga meningkatkan potensi dampaknya, karena perangkat edge sering kali menangani aliran data penting ke dan dari jaringan.”
Di Morgan Wright, Kepala Penasihat Keamanan Penjaga SatuPerusahaan perlindungan endpoint yang berbasis di Mountain View, California menambahkan bahwa “banyak organisasi tertinggal jauh dalam menambal perangkat yang rentan seperti firewall, VPN, atau gateway email.”
“Itu tidak membantu ketika ada banyak kerentanan yang kompleks,” katanya kepada TechNewsWorld. “Bagi penyerang, ini sama saja dengan menembak ikan dalam tong secara digital.”
Grimes dari KnowBe mengakui bahwa pengelolaan perangkat infrastruktur edge seringkali lemah. “Sedihnya, perangkat edge merupakan salah satu perangkat dan perangkat lunak yang paling banyak belum ditambal di lingkungan kita selama beberapa dekade,” katanya. “Sebagian besar toko IT menghabiskan sebagian besar upaya patching mereka pada server dan workstation. Penyerang melihat dan mengeksploitasi perangkat edge karena perangkat tersebut kecil kemungkinannya untuk ditambal dan sering kali memiliki kredensial administratif yang sama.
Akhir dari proses DMARC
Setelah menganalisis 17,8 juta email, peneliti Darktrace menemukan bahwa 62% dapat melewati pemeriksaan verifikasi DMARC.
DMARC dirancang untuk memverifikasi bahwa pesan email berasal dari suatu domain, namun memiliki keterbatasan. Penipu dapat membuat domain dengan nama yang mirip dengan merek terkenal dan DMARC-nya. “Jadi selama mereka dapat memasukkan domain palsu yang mirip dengan korban, email mereka akan lolos pemeriksaan DMARC,” jelas Grimes.
“Statistik yang mengkhawatirkan dalam Laporan Ancaman Setengah Tahun DarkTrace terbaru menyoroti perlunya organisasi untuk mengadopsi pendekatan berlapis terhadap keamanan email dengan menggabungkan deteksi anomali canggih berbasis AI dan analisis perilaku untuk melengkapi langkah-langkah keamanan tradisional,” tambah Stephen Kowsky. dari CTO lapangan Tebasan berikutnyaSebuah perusahaan keamanan komputer dan jaringan di Pleasanton, California.
“Strategi holistik ini membantu mendeteksi dan memitigasi serangan phishing canggih yang menghindari DMARC dan pertahanan tradisional lainnya,” katanya kepada TechNewsWorld. “Dengan terus memantau dan beradaptasi terhadap pola ancaman yang terus berkembang, organisasi dapat meningkatkan postur keamanan email mereka secara signifikan.”
Dror Lever, salah satu pendiri Coro, sebuah perusahaan keamanan siber berbasis cloud yang berbasis di Tel Aviv, Israel, berpendapat bahwa banyak temuan laporan tersebut menunjukkan penyebab yang sama. Mengutip laporan yang dirilis oleh Coro awal tahun ini, ia mencatat bahwa 73% tim keamanan mengaku melewatkan atau mengabaikan peringatan penting.
“Terlalu banyak alat yang berbeda, yang masing-masing memerlukan pemeliharaan, pembaruan rutin, dan pemantauan, menyebabkan tim keamanan berurusan dengan administrasi alih-alih perlindungan,” katanya kepada TechNewsWorld.
Namun Wright berpendapat bahwa temuan ini mungkin menunjukkan kelemahan industri yang lebih besar. “Dengan banyaknya uang yang dibelanjakan untuk keamanan siber dan semakin banyaknya ancaman, hal ini menimbulkan pertanyaan – apakah kita menghabiskan cukup uang untuk keamanan siber atau kita membelanjakannya di tempat yang salah?” Dia bertanya.