12 Oktober 2022
MANILA — Bagaimana jika Anda berdagang di Binance Exchange, namun akses ke server Anda sudah dijual di web gelap, kumpulan situs Internet tersembunyi yang hanya dapat diakses melalui browser web khusus?
Seperti yang ditekankan oleh Kaspersky, sebuah perusahaan keamanan siber dan privasi digital, “permintaan akan data perusahaan dan pribadi di pasar gelap sangat tinggi, dan hal ini tidak selalu melibatkan serangan yang ditargetkan.”
Perusahaan mengatakan hal ini sambil mengungkapkan dalam laporan Digital Footprint Intelligence (DFI) bahwa 95 persen dari seluruh iklan di kawasan Asia Pasifik (APAC) adalah hasil dari kebocoran database.
DFI untuk APAC menyoroti hasil yang dikumpulkan tahun lalu bagi organisasi dan negara untuk mewaspadai kemungkinan ancaman eksternal dan tetap mengetahui potensi aktivitas kejahatan dunia maya.
Hal ini, seperti saat ini, mempersiapkan penjahat dunia maya untuk menyerang, bertukar data, dan mendapatkan uang di web gelap. Memeriksa sumber daya web gelap dikatakan dapat memberikan wawasan mengenai aktivitas kriminal melalui tahapan serangan berikut:
Tahap 1: Minat untuk membeli entri
Tahap 2: Perintah masuk (siap untuk eksekusi serangan)
Broker akses awal: Jual pesanan untuk organisasi tertentu, atau pesanan massal dengan organisasi yang dikelompokkan berdasarkan industri dan/atau wilayah.
Pesanan Penjualan Aktivitas Orang Dalam: Permintaan untuk menjual layanan orang dalam yang dapat mengakibatkan kebocoran kredensial, layanan pengumpulan informasi sumber (misalnya, penyelundupan data PII berdasarkan permintaan), atau kebocoran data. Sumbernya biasanya adalah broker orang dalam.
Log malware: Malware pencuri kredensial (pencuri) mengumpulkan kredensial menjadi data yang dapat dijual kembali atau dapat diakses dengan nama pengguna dan kata sandi akun.
Tahap 3: Kebocoran data dan data dijual
Meskipun Kaspersky menyoroti bahwa kebocoran data di Singapura dan Australia merupakan yang terbesar jika dilihat dari volume pesanan berdasarkan PDB, Filipina merupakan salah satu negara dengan skor iklan web gelap tertinggi yang menunjukkan bahwa serangan telah dilakukan.
Serangan yang dilakukan, kata dia, adalah aktivitas broker akses awal di web gelap, yaitu jaringan overlay, tempat orang dalam menjual akses ke jaringan, dan malware mencatat dengan kredensial domain.
“Temuan yang paling menjanjikan adalah dari fase eksekusi serangan: artefak menunjukkan bahwa musuh memiliki kemampuan atau sudah memiliki akses ke jaringan atau layanan organisasi, namun belum ada dampaknya terhadap bisnis,” kata Kaspersky.
Terkait iklan di web gelap yang mengindikasikan serangan telah dilakukan, perusahaan keamanan siber dan privasi digital mengatakan Australia, India, Tiongkok, dan Filipina menyumbang 75 persen.
Australia memiliki lebih dari 450 iklan yang mengindikasikan serangan telah dilakukan
India memiliki lebih dari 350 iklan yang menunjukkan bahwa serangan telah dilakukan
Tiongkok memiliki kurang dari 250 iklan yang mengindikasikan serangan telah dilakukan
Filipina memiliki kurang dari 150 iklan yang menunjukkan bahwa serangan telah dilakukan
Kaspersky menyoroti bahwa Filipina, Pakistan, Singapura, Australia, dan Thailand adalah negara-negara yang paling terkena dampak jika dibandingkan dengan PDB, sementara Filipina, India, dan Tiongkok mendominasi pasar jasa domestik dengan 82 persen perputaran pesanan.
Kaspersky mengatakan perlu dicatat bahwa Filipina, Pakistan dan Thailand termasuk di antara negara-negara musuh yang tertarik untuk melancarkan serangan atau tampaknya telah dikompromikan.
“Operasi penjahat dunia maya di bawah permukaan jelas sedang sibuk. Dari persiapan dan eksekusi serangan, hingga dampak pelanggaran data dan kemudian menjual dan menjual kembali informasi yang dicuri,” kata perusahaan itu.
Chris Connel, Managing Director Kaspersky untuk kawasan ini, menekankan bahwa “sistem operasi ini merupakan ancaman serius bagi bisnis dan organisasi di APAC,” dan menunjukkan bahwa penjualan data dan akses ke perusahaan sering kali berjalan beriringan.
“Ini berarti serangan yang berhasil terhadap organisasi Anda bisa berlipat ganda. Informasi rahasia Anda dapat dicuri dan dijual, dan penjahat dunia maya ini dapat membuka diri dan menawarkan sistem Anda yang terinfeksi kepada koalisi yang lebih jahat,” katanya.
Risiko tinggi untuk PH
Aktivitas web gelap yang terkait dengan dampak serangan – iklan tentang penjualan kebocoran data dan data yang disusupi – mendominasi statistik karena tersebar dari waktu ke waktu, di mana penjahat menjual, menjual kembali, dan mengemas ulang banyak kebocoran data dari masa lalu.
Berdasarkan data Kaspersky, Australia (11.440), China (8.731), Singapura (4.996), India (4.232), Hong Kong (2.282), Indonesia (1.882) dan Jepang (1.581) memiliki pangsa iklan dark web tertinggi.
Meskipun Filipina hanya memiliki 653 iklan web gelap, wilayah ini paling terpengaruh oleh ProxyShell – sebuah rantai serangan yang mengeksploitasi kerentanan di Microsoft Exchange – dengan 28,6 persen layanan rentan.
Filipina: 28,6 persen
Pakistan: 23,4 persen
Malaysia: 21,7 persen
Mengenai ProxyLogon, kerentanan pada server Microsoft Exchange yang memungkinkan penyerang melewati otentikasi dan menyamar sebagai administrator, Jepang adalah negara yang paling terkena dampak dengan 43 persen layanan yang rentan.
Jepang: 43 persen
Pakistan: 30,3 persen
Filipina: 29,1 persen
Tahapan serangan
Selain tahap kedua, perusahaan keamanan siber dan privasi digital juga menyoroti tahap serangan pertama dan terakhir dalam laporan DFI-nya—ketertarikan untuk membeli akses, dan kebocoran data serta membeli data.
Untuk tahap serangan pertama, dikatakan bahwa penjahat dunia maya yang mencari penawaran akses awal mengetahui bahwa ada pasar yang besar untuk iklan semacam itu.
“Organisasi-organisasi dari Australia, India, Tiongkok daratan dan Pakistan merupakan musuh utama yang berkepentingan dalam melancarkan serangan. Negara-negara ini hadir dalam 84% iklan dari kategori persiapan serangan.”
“Pakistan dan Australia menarik minat yang besar seperti yang terlihat dari jumlah pesanan yang disesuaikan dengan PDB mereka. Melihat besarnya infrastruktur, bisnis, dan industrialisasi, Tiongkok daratan mempunyai ketertarikan yang relatif rendah terhadap musuh.”
Hal ini dapat mengindikasikan adanya hambatan bahasa dalam TKP di wilayah APAC atau komplikasi dalam akses tingkat jaringan ke organisasi-organisasi di negara tersebut.
Pesanan pembelian akses adalah permintaan untuk membeli akses ke satu atau daftar organisasi atau industri tertentu di wilayah tertentu. Namun, pesanan pembelian aktivitas orang dalam adalah permintaan untuk membeli layanan orang dalam yang dapat menyebabkan kebocoran kredensial atau data, sumber layanan pengumpulan informasi.
Tahap serangan terakhir menunjukkan bahwa ketika kebocoran data terjadi, penjualan atau akses gratis ke informasi yang dicuri akan menyusul. Indikator kompromi dapat berupa kebocoran data serta perintah aktivitas orang dalam.
Data web gelap
Saat Kaspersky memeriksa sumber daya, ia mengatakan ada dua jenis data utama yang ditemukan saat menganalisis jejak digital suatu organisasi: aktivitas penipuan dan jejak serangan siber.
Berdasarkan data, berikut jumlah iklan dan aktivitas penipuan di dark web pada tahun 2021:
Jejak serangan siber: 40.819
Aktivitas penipuan: 19.820
Kaspersky mengatakan ada 467 iklan “persiapan serangan” atau pesanan pembelian untuk akses ke sumber daya perusahaan yang dipublikasikan di web gelap.
Ada 1.610 “serangan yang dilakukan” atau aktivitas broker awal. Ini dibagi menjadi kebocoran kredensial dari log malware (674), perintah penjualan akses (649) dan perintah aktivitas orang dalam (287).
Kaspersky menyebutkan ada 38.742 “dampak serangan” atau penjualan database perusahaan, dokumen sensitif.
Demikian pula aktivitas penipuan yang terdeteksi oleh perusahaan adalah kartu kredit dan penarikan (5.865), layanan penipuan dokumen (5.415), pemesanan kartu SIM (4.605), layanan pengumpulan informasi (3.648) dan pesanan aktivitas orang dalam (287).
Diperlukan perlindungan
Kaspersky menekankan bahwa penyerang dapat memperoleh akses ke infrastruktur perusahaan secara acak untuk kemudian menjualnya kepada pemeras atau penjahat dunia maya tingkat lanjut lainnya.
“Serangan seperti ini dapat mempengaruhi perusahaan dengan ukuran berapa pun, besar atau kecil, karena akses sistem perusahaan sering kali dianggap wajar di forum bawah tanah, terutama dibandingkan dengan potensi kerusakan pada bisnis,” katanya.
Vendor di web gelap sebagian besar menawarkan akses jarak jauh melalui RDP. Untuk melindungi infrastruktur perusahaan dari serangan melalui layanan akses dan kontrol jarak jauh, pastikan koneksi melalui protokol ini aman dengan:
menyediakan akses ke layanan (misalnya RDP) hanya melalui VPN
gunakan kata sandi yang kuat dan otentikasi tingkat jaringan
penggunaan otentikasi dua faktor untuk semua layanan
pemantauan kebocoran data akses. Pemantauan web gelap tersedia di Kaspersky Threat Intelligence Portal