Sophos, pemimpin global dalam keamanan siber generasi berikutnya, hari ini merilis “Active Adversary Playbook 2022,” yang merinci perilaku penyerang yang dilihat oleh tim Rapid Response dari Sophos di ruang siber pada tahun 2021. Laporan tersebut menunjukkan peningkatan dwell time sebesar 36%, dengan dwell time penyusup rata-rata selama 15 hari di 2021 dibandingkan dengan 11 hari di 2020.
Laporan tersebut juga mengungkapkan dampak kerentanan di ProxyShell Microsoft Exchange, yang menurut Sophos dimanfaatkan oleh beberapa Initial Access Brokers (IAB) untuk menyusup ke jaringan dan kemudian menjual akses itu ke para penyerang lain.
“Kejahatan yang terjadi di dunia maya sangat beragam dan telah menjadi sesuatu yang terspesialisasi. IAB telah mengembangkan industri kejahatan siber dengan menyusupi sebuah target, melakukan pengintaian eksplorasi atau memasang backdoor, dan kemudian menjual akses turn-key ke grup ransomware untuk melakukan serangan-serangan yang mereka lakukan sendiri,” kata John Shier, senior security advisor di Sophos.
“Dalam lanskap ancaman siber berbasis spesialisasi yang semakin dinamis ini, akan sulit bagi perusahaan untuk memahami penggunaan alat dan pendekatan yang selalu berubah-rubah yang dilakukan oleh para penyerang," ucapnya.
Karena itu, sangat penting bagi para penjaga keamanan untuk memahami apa yang harus dicari pada setiap tahap rantai serangan yang terjadi, sehingga mereka dapat mendeteksi dan menetralisir serangan secepat mungkin.
Penelitian dari Sophos juga menunjukkan bahwa dwell time penyusup dilakukan lebih lama di lingkungan perusahaan yang lebih kecil. Para penyerang dapat bertahan selama kurang lebih 51 hari di perusahaan yang memiliki karyawan hingga 250 orang, sementara mereka biasanya menghabiskan 20 hari di perusahaan dengan 3.000 hingga 5.000 karyawan.
“Para penyerang menganggap perusahaan-perusahaan yang lebih besar lebih berharga, sehingga mereka lebih termotivasi untuk masuk mendapatkan apa yang mereka inginkan, dan keluar," pungkasnya.
Sophos mengungkapkan perusahaan-perusahaan yang lebih kecil memiliki 'nilai' yang lebih sedikit, sehingga penyerang dapat mengintai di sekitar jaringan untuk waktu yang lebih lama. Mungkin juga para penyerang ini kurang berpengalaman dan membutuhkan lebih banyak waktu untuk mencari tahu apa yang harus dilakukan begitu mereka berada di dalam jaringan.
Terakhir, organisasi yang lebih kecil biasanya memiliki visibilitas yang lebih rendah untuk mendeteksi dan mengeluarkan para penyerang, sehingga hal ini memperpanjang kehadiran mereka,” kata Shier.
“Dengan peluang yang mereka dapatkan dari adanya kerentanan di ProxyLogon dan ProxyShell yang belum ditambal dan dengan adanya kebangkitan IAB, kami melihat terdapat lebih banyak bukti dari banyak para penyerang dalam melakukan satu target. Jika di dalam jaringan tersebut ramai, penyerang akan ingin bergerak cepat untuk mengalahkan pesaing mereka.”
Temuan-temuan tambahan dalam laporan tersebut meliputi:
Dwell time rata-rata para penyerang sebelum terjadi deteksi akan lebih lama untuk melakukan intrusi "siluman", di mana saat itu belum berkembang menjadi serangan besar seperti ransomware, dan untuk perusahaan-perusahaan dan sektor-sektor industri yang lebih kecil dengan sumber daya keamanan TI yang lebih sedikit.