Palo Alto Networks mengungkapkan para pelaku kejahatan siber selalu mencari celah keamanan dan titik lemah yang dapat diserang.
Laporan 2022 Unit 42 Incident Response Report menggunakan sampel lebih dari 600 kasus IR Unit 42, untuk membantu para eksekutif CISO dan tim keamanan dalam memahami ancaman keamanan terbesar yang mereka hadapi, dan dimana mereka harus memprioritaskan sumber daya utama untuk mengurangi risiko tersebut.
Di dalam laporan tersebut, Unit 42 mengidentifikasi bahwa industri keuangan dan properti menerima rata-rata permintaan tebusan tertinggi, dengan masing-masing angka permintaan mendekati US$8 juta (Rp 118 miliar) dan US$5,2 juta (Rp 77 miliar). Secara keseluruhan, ancaman ransomware dan juga business email compromise (BEC) merupakan jenis insiden yang paling banyak ditemui dan telah ditangani oleh team Incident Response selama lebih dari 12 bulan, yaitu sekitar 70% dari kasus tanggapan insiden.
“Saat ini kejahatan siber merupakan jenis bisnis yang mudah dimasuki karena rendahnya biaya dan sering kali memberikan keuntungan yang tinggi. Dengan demikian, para pelaku ancaman yang masih pemula dan memiliki kemampuan terbatas bisa mulai melakukan serangan menggunakan alat-alat seperti hacking-as-a-service yang semakin populer dan tersedia di dark web,” ujar Wendi Whitmore, SVP & Head of Unit 42, Palo Alto Networks.
“Para pelaku ransomware juga menjadi lebih terorganisir dalam menangani pelanggan dan memenuhi survey kepuasan dalam keterlibatannya dengan penjahat siber dan para organisasi yang menjadi korban," ucapnya.
Badan Siber dan Sandi Nasional (BSSN) baru-baru ini melaporkan bahwa dari lebih dari 700 juta insiden siber di tanah air sepanjang setengah tahun 2022, jenis insiden yang paling banyak terjadi adalah ransomware serta BEC, khususnya serangan phishing.
“Dengan banyaknya data dan laporan tentang meningkatnya serangan siber, terutama ransomware dan BEC, perusahaan perlu mulai memfokuskan upaya pertahanan siber mereka, agar dapat membatasi kemampuan penyerang dalam memanfaatkan kerentanan pada infrastruktur perusahaan secara keseluruhan. Persiapan yang matang dalam melawan potensi serangan merupakan kunci untuk mengurangi jumlah pelanggaran pada sistem dan menghindari serangan di masa mendatang,” ucap Adi Rusli, Country Manager Indonesia, Palo Alto Networks.
Tren utama dalam laporan ini meliputi:
Ransomware
Setiap empat jam sekali, terdapat penambahan korban ransomware baru yang diunggah dalam situs kebocoran (leak site). Hal ini menunjukkan pentingnya mengidentifikasi aktivitas ransomware sejak dini bagi organisasi. Biasanya, para pelaku ransomware dapat diidentifikasi setelah dokumen-dokumen sudah di-enkripsi, dan ketika korban telah menerima permintaan tebusan.
Unit 42 telah mengidentifikasi median dwell time –– yaitu waktu yang dibutuhkan para pelaku ancaman dalam lingkungan yang dituju sebelum terdeteksi –– untuk serangan ransomware selama 28 hari. Permintaan tebusan telah mencapai angka US$30 juta (Rp 445 miliar), dan pembayaran aktual mencapai US$8 juta (Rp 118 miliar), sebuah peningkatan yang stabil dibandingkan dengan temuan dalam The 2022 Unit 42 Ransomware Threat Report.
Selain itu, organisasi yang terkena dampak harus semakin mengantisipasi pelaku ancaman untuk menggunakan pemerasan ganda, yaitumengancam akan merilis informasi sensitif ke publik jika uang tebusan tidak dibayarkan.
BEC
Para penjahat siber menggunakan berbagai macam teknik dalam skema kejahatan business email compromise. Bentuk kejahatan social engineering, seperti phishing, menawarkan cara yang mudah dan terjangkau untuk mendapatkan akses terselubung terhadap sistem dengan risiko terungkap yang rendah. Menurut laporan tersebut, dalam beberapa kasus kejahatan siber, para pelaku menjebak target tanpa diketahui untuk menyerahkan kredensial mereka –– dan mereka berhasil mendapatkannya. Setelah mereka mendapatkan akses, terdapat median dwell time untuk serangan BEC sebesar 38 hari, dan jumlah rata-rata yang dicuri adalah sebesar US$286.000.
Industri-industri yang Terdampak
Para penyerang mengincar besarnya nominal uang ketika mereka menentukan target industri; namun, banyak penyerang yang bersifat oportunis, memindai internet untuk mencari sistem dengan kerentanan yang dapat dimanfaatkan. Unit 42 mengidentifikasi bahwa industri yang paling terdampak dalam kasus respons insiden adalah industri keuangan, layanan profesional dan hukum, manufaktur, kesehatan, teknologi tinggi, serta ritel. Organisasi yang termasuk dalam industri-industri tersebut, menyimpan, mengirimkan, dan memproses sejumlah besar informasi sensitif yang dapat dimonetisasi sehingga menarik pelaku kejahatan.
Laporan tersebut juga mengungkapkan beberapa statistik dari kasus IR yang para penyerang siber tidak ingin Anda ketahui:
Tiga vektor serangan akses awal teratas yang digunakan oleh para penjahat siber merupakan phishing, eksploitasi perangkat lunak yang memanfaatkan kerentanan, dan serangan kredensial brute force yang berfokus pada Remote Desktop Protocol (RDP). Jika digabungkan, total vektor serangan ini merupakan 77% dari dugaan penyebab intrusi.
ProxyShell menyebabkan lebih dari setengah dari total kerentanan yang dieksploitasi untuk serangan awal dengan jumlah sebesar 55%, diikuti oleh Log4J (14%), SonicWall (7%), ProxyLogon (5%), dan Zoho ManageEngine ADSelfService Plus (4%).
Dalam setengah dari total kasus IR, penyelidik kami menemukan bahwa organisasi tidak memiliki autentikasi multifaktor pada sistem internet yang rentan, seperti webmail perusahaan, solusi jaringan pribadi virtual (VPN), atau solusi akses jarak jauh lainnya.
Dalam 13% kasus, organisasi tidak memiliki sistem mitigasi yang memastikan penguncian akun untuk serangan kredensial brute-force.
Dalam 28% kasus, organisasi memiliki prosedur manajemen patch yang buruk sehingga berkontribusi pada keberhasilan pelaku ancaman.
Dalam 44% kasus, organisasi tidak memiliki solusi keamanan endpoint detection and response (EDR) atau extended detection and response (XDR), atau tidak sepenuhnya diterapkan pada sistem yang awalnya terdampak untuk mendeteksi dan merespon aktivitas berbahaya. Sebanyak 75% kasus ancaman internal melibatkan mantan karyawan.
KOMENTAR