Penulis: Evan Dumas, Regional Director, Southeast Asia, Check Point Software Technologies
Para peneliti keamanan mengamati adanya lima tren ancaman siber yang muncul saat pandemi COVID-19 merebak, dan menghantui bisnis.
Pandemi COVID-19 benar-benar berdampak pada hampir setiap aspek kehidupan kita. Cara kita hidup dan bekerja telah bertransformasi menjadi sesuatu yang tak terbayangkan sebelumnya. Singkatnya, kehidupan di bumi telah beralih ke daring/online. Perubahan ini tidak terjadi secara bertahap, tapi dalam sekejap!
Bisnis di seluruh dunia pun harus beradaptasi dengan cepat, dengan melakukan perubahan pada infrastruktur miliknya. Saat perusahaan mendorong para karyawannya untuk bekerja di rumah, tim TI dan keamanan juga dipaksa beradaptasi dengan new normal dan bergegas untuk mengamankan attack surface yang juga berubah. Di saat yang sama, aktor ancaman justru mengambil keuntungan dari situasi ini dengan mengubah skill serta metodologi eksploitasi kerentanan di dunia baru dunia hibrida ini.
Check Point Research telah mengamati lima tren baru ancaman siber yang kemunculannya dipicu oleh merebaknya virus corona.
- Menyebarnya serangan bertema COVID
COVID-19 menyebabkan peningkatan penyebaran serangan malware yang memanfaatkan teknik social engineering dan mengeksploitasi "keasyikan" kita pada virus. Ribuan nama domain yang berhubungan dengan corona didaftarkan dan banyak di antaranya yang digunakan untuk mengelabui korban.
Beberapa domain digunakan untuk mengirimkan email yang mengaku menjual (tapi penipuan) vaksin atau obat COVID-19, beberapa lainnya untuk berbagai kampanye phishing atau untuk mendiskusikan aplikasi mobile jahat. Beberapa scammer juga menawarkan barang dengan diskon khusus virus corona. Hacker juga membidik negara-negara yang tingkat penularannya tinggi, dan mereka dipandang sebagai target paling rentan serangan.
- Serangan phishing terkait Zoom
Ancaman yang satu ini didorong oleh pertumbuhan pesat penggunaan aplikasi video conferencing Zoom. Selama masa lockdown, penggunaan Zoom meroket dari 10 juta per hari di Desember 2019 menjadi lebih dari 300 juta pada April 2020. Para penjahat maya telah memanfaatkan popularitas aplikasi ini untuk meluncurkan serangan phishing.
Menurut Check Point Research, pendaftaran domain yang berkaitan dengan Zoom, dan program Zoom palsu khususnya, berada di belakang peningkatan drastis serangan siber. Kami bekerja sama dengan Zoom untuk memperbaiki kerentanan yang bisa mendatangkan tamu tak diundang, hacker, ke dalam rapat virtual. Baru-baru ini, tim kami juga membantu melakukan mitigasi risiko yang berhubungan dengan isu keamanan pada fitur Vanity URL yang memungkinkan hacker mengirimkan undangan rapat bisnis palsu, yang bertujuan menyisipkan malware lalu mencuri data atau kredensial user.
- Evolusi ransomware: Double Extortion
Risiko serangan ransomware meningkat ketika para makin banyak karyawan yang menggunakan perangkat pribadi untuk bekerja, dan mereka mengakses jaringan perusahaan melalui koneksi yang tidak aman.
Ditambah lagi, para penjahat maya mulai menggunakan taktik baru yang disebut double extortion.
Dalam taktik baru yang muncul di awal tahun 2020 ini, sebelum mengenkripsi database korban, penyerang mengekstraksi informasi bisnis yang sensitif dalam jumlah besar dan mengancam untuk mempublikasikannya jika korban tidak mau membayar tebusan.
Hal ini menempatkan organisasi pada situasi sulit. Jika mereka tidak memberikan apa yang diminta si penjahat, ia akan mempublikasikan data yang dicurinya. Dan organisasi akan harus melaporkan pencurian data itu, terkait pengawasan privasi data nasional atau internasional. Akibatnya, organisasi bisa dikenai denda dalam jumlah besar. Atau perusahaan harus membayar tebusan yang juga tidak sedikit jumlahnya untuk keluar dari situasi sulit ini.
- Ancaman terhadap perangkat mobile yang terus tumbuh
Keamanan mobile menjadi prioritas utama bagi kebanyakan organisasi masa kini. Saat bekerja jarak jauh, makin banyak karyawan yang menggunakan perangkat mobile untuk mengakses data perusahaan. Artinya, organisasi saat ini lebih berpotensi terpapar pencurian data.
Baru-baru ini, Check Point Research menemukan lebih dari 400 kerentanan pada salah satu DSP Qualcomm Technologies, sebuah cip yang terpasang pada lebih dari 40% ponsel yang beredar di pasar. Di antara ponsel yang dipasangi teknologi ini, seperti ponsel hi end dari Google, Samsung, LG, Xiaomi, OnePlus, dan lain-lain. Penjahat siber dapat mengeksploitasi kerentanan ini sehingga perangkat mobile karyawan dapat berubah menjadi alat mata-mata, membuat ponsel tidak responsif, atau menyisipkab malware tersembunyi dan tidak dapat dihapus.
Dalam realita hari ini, serangan apapun dapat masuk ke PC atau jaringan, dapat dan akan masuk pula ke perangkat mobile. Di masa lalu, hanya penyerang yang canggih yang dapat mengakses tool canggih seperti mobile ransomware. Tapi saat ini, tool semacam itu ada di Dark Web. Terlebih, aktor ancaman mencari vektor baru untuk menginfeksi di dunia mobile dengan mengubah dan meningkatkan teknik-teknik menghindari deteksi di tempat-tempat seperti app store resmi.
- Mengamankan infrastruktur perusahaan
Sejak merebaknya pandemi COVID-19, mayoritas pekerja berkantor di rumah, dan terkoneksi ke jaringan kantor dari jarak jauh. Transisi ini menandai semakin banyaknya penggunaan solusi TI untuk koneksi jarak jauh dengan jaringan kantor. Salah satu contoh layanan tersebut adalah remote desktop gateway Open Source Apache Guacamole, satu solusi TI yang memungkinkan karyawan terkoneksi dengan aman ke jaringan kantor. Solusi ini sangat popuker dan telah ada lebih dari 10 juta unduhan docker di seluruh dunia.
Itu artinya, jika ada kerentanan pada solusi-solusi ini bisa berdampak besar karena perusahaan bergantung pada solusi tersebut dalam menjalankan bisnis. Baru bulan lalu, kami menemukan bahwa Guacamole memiliki beberapa kerentanan Reverse RDP.
Kerentanan ini memungkinkan para aktor ancaman untuk meluncurkan serangan melalui Guacamole gateway, begitu mereka berhasil menyerang satu komputer di dalam perusahaan. Hal ini dapat dicapai begitu seorang karyawan terkoneksi dengan mesin yang terinfeksi. Begitu bisa menguasai gateway, si penyerang dapat 'menguping' semua incoming session, merekam semua kredensial user, dan bahkan bisa memulai session baru untuk mengontrol komputer-komputer lainnya dalam perusahaan. Oleh karena itu, ketika sebagian besar karyawan bekerja secara remote, pijakan yang dibuat si penjahat maya ini akan memungkinkan mereka menguasai sepenuhnya seluruh jaringan kantor.
Transisi global ke arah kerja jarak jauh adalah satu keniscayaan dalam masa-masa sulit ini, bahkan akan terus berlanjut saat kita memasuki era pasca pandemi. Namun kita tidak boleh mengabaikan amanat keamanan di realita baru ini. Tren virus corona telah mengubah cara kita bekerja secara dramatis tapi kita harus terus dan menyesuaikan cara mengamankan pekerjaan. Kita harus mengubah strategi keamanan siber untuk menghadapi realita baru ini, atau kita membiarkan diri kita menghadapi risiko sebagai korban serangan siber.