Laporan Kaspersky ICS CERT terbaru mengungkap adanya serangkaian kampanye spyware baru yang menyerang lebih dari 2000 perusahaan industri di dunia dan data yang dicuri berakhir di marketplace.
Selama paruh pertama tahun 2021, para ahli Kaspersky ICS CERT melihat anomali aneh dalam statistik ancaman spyware yang diblokir di komputer ICS (industrial control system). Meskipun malware dalam serangan termasuk keluarga spyware terkenal seperti Agen Tesla/Origin Logger, HawkEye dan lainnya, serangan ini lebih menonjol dibandingkan serangan mainstream pada umumnya karena jumlah target yang sangat sedikit (dari sejumlah besar menjadi hanya beberapa lusin) dan masa hidup yang sangat singkat dari setiap sampel berbahaya.
Analisis lebih mendalam terhadap 58.586 sampel spyware yang diblokir di komputer industrial control system (ICS) pada semester pertama 2021 mengungkapkan bahwa sekitar 21,2 persen dari sampel tersebut merupakan bagian dari rangkaian serangan terbatas dan berjangka pendek tersebut. Siklus hidup mereka terbatas, sekitar 25 hari, yang jauh lebih pendek daripada masa hidup spyware “tradisional”.
Menurut Kaspersky, spyware ini bertanggung jawab atas bagian yang tidak proporsional dari seluruh serangan spyware. Di Asia, misalnya, setiap komputer ke-enam yang diserang oleh spyware merupakan salah satu sampel spyware "anomali" (2,1% dari 11,9%).
Khususnya, sebagian besar kampanye ini disebarkan dari satu perusahaan industri ke perusahaan lain melalui email phishing yang dibuat dengan sangat baik. Setelah menembus ke dalam sistem korban, penyerang menggunakan perangkat sebagai server C2 (command and control) untuk serangan berikutnya. Dengan akses ke milis korban, pelaku kejahatan siber dapat menyalahgunakan email perusahaan dan menyebarkan spyware lebih jauh.
Menurut telemetri Kaspersky ICS CERT, lebih dari 2.000 organisasi industri di seluruh dunia telah masuk ke dalam infrastruktur berbahaya dan digunakan oleh penjahat siber untuk menyebarkan serangan ke kontak yang dimiliki organisasi dan mitra bisnis mereka. Kaspersky memperkirakan jumlah total akun perusahaan yang disusupi atau dicuri akibat serangan spyware tersebut mencapai lebih dari 7.000.
Data Hasil Curian Dijual di Marketplace
Kemudian, data sensitif yang dicuri dari komputer ICS ini sering berakhir di berbagai pasar. Pakar Kaspersky mengidentifikasi lebih dari 25 pasar berbeda yang menjual kredensial curian dari serangan industri ini.
Analisis pasar tersebut menunjukkan adanya permintaan yang tinggi untuk kredensial akun perusahaan, terutama untuk Akun Desktop Jarak Jauh (RDP/remote dekstop protocol). Analisis Kaspersky menunjukkan, lebih dari 46 persen dari semua akun RDP yang dijual di pasar dimiliki oleh perusahaan di Amerika Serikat, sedangkan sisanya berasal dari Asia, Eropa, dan Amerika Latin. Hampir 4 persen (atau hampir 2.000 akun) dari semua akun RDP yang dijual adalah milik perusahaan industri.
Pasar lain yang berkembang adalah Spyware-as-a-Service. Karena kode sumber dari beberapa program spyware populer telah dipublikasikan, mereka menjadi sangat tersedia di toko online dalam bentuk layanan, pengembang tidak hanya menjual malware sebagai produk tetapi juga lisensi bagi pembuat malware dan akses ke infrastruktur yang telah dikonfigurasi sebelumnya untuk membangun malware.
''Sepanjang tahun 2021, para pelaku kejahatan siber secara ekstensif menggunakan spyware untuk menyerang komputer industri. Hari ini kita menyaksikan tren baru yang berkembang pesat di lanskap ancaman industri. Untuk menghindari deteksi, mereka mengecilkan ukuran setiap serangan dan membatasi penggunaan setiap sampel malware dengan segera menggantinya dengan yang baru. Taktik lain termasuk penyalahgunaan besar-besaran infrastruktur email perusahaan untuk menyebarkan malware. Ini berbeda dari apa pun yang telah para ahli amati pada kampanye spyware sebelumnya dan kami mengantisipasi serangan semacam itu mendapatkan daya tarik di tahun mendatang,” komentar Kirill Kruglov, pakar keamanan di Kaspersky ICS CERT.
Tujuh Rekomendasi untuk Lindungi Perusahaan Industri
Para ahli di Kaspersky merekomendasikan tujuh langkah berikut agar perusahaan industri dapat memastikan perlindungan yang memadai bagi operasi bisnis dan para mitranya:
- Menerapkan autentikasi dua faktor untuk akses email perusahaan dan layanan lain yang terhubung ke internet (termasuk RDP, gateway VPN-SSL, dll.) yang dapat digunakan oleh penyerang untuk mendapatkan akses ke infrastruktur internal perusahaan Anda dan data penting bisnis lainnya.
- Memastikan bahwa semua titik akhir, baik di jaringan TI maupun OT, dilindungi dengan solusi keamanan titik akhir modern yang dikonfigurasi dengan tepat dan selalu diperbarui.
- Memberikan pelatihan reguler kepada tim Anda secara teratur untuk menangani email masuk dengan aman dan untuk melindungi sistem mereka dari malware yang mungkin berada dalam lampiran email.
- Secara teratur memeriksa folder spam daripada hanya mengosongkannya.
- Memantau akun organisasi Anda yang terpapar di web.
- Menggunakan solusi sandbox yang dirancang untuk menguji lampiran secara otomatis dalam lalu lintas email masuk. Namun, pastikan solusi sandbox Anda dikonfigurasi untuk tidak melewatkan email dari sumber "tepercaya", termasuk mitra dan kontak organisasi, karena tidak ada yang 100% terlindungi dari gangguan keamanan.
- Menguji lampiran dalam email keluar untuk memastikan Anda tidak disusupi pihak asing.