Scattered Spider: Si Penjebak Cloud Admins

pibitek.biz -Scattered Spider, grup ransomware yang terkenal dengan kecerdasan sosialnya, kembali berulah! Kali ini mereka mengincar perusahaan keuangan dan asuransi dengan metode serangan yang super canggih. Sasarannya? Para admin IT dan tim keamanan siber yang memegang akses tingkat tinggi ke sistem cloud. Mereka memanfaatkan kombinasi smishing dan vishing, alias mengirim pesan dan telepon palsu, untuk membohongi para admin dan mencuri akses login mereka. Taktik mereka? Mengaku sebagai karyawan internal atau menggunakan tipu daya untuk memanipulasi pengaturan multi-faktor autentikasi (MFA).

Kemudian mereka mengarahkan korban ke situs palsu yang dirancang mirip dengan portal login resmi untuk mencuri kredensial. Caranya mirip seperti menjebak burung dengan sarang palsu. Mereka membuat jebakan yang super mirip dengan aslinya, sehingga korban tak curiga dan terjebak. Para admin, yang biasanya jagoan dalam urusan cloud security, tak luput dari jebakan halus ini. Strategi Scattered Spider jauh lebih canggih dari sebelumnya. Mereka tak hanya bergantung pada phishing, tetapi juga menggunakan metode lainnya, seperti membeli kredensial curian, melakukan SIM swap, dan memanfaatkan tools asli cloud untuk mendapatkan akses permanen ke lingkungan cloud. "Scattered Spider memanfaatkan kelemahan cloud untuk mencapai tujuannya, menjadikan mereka semakin sulit dilacak dan dihentikan", ujar seorang analis keamanan siber. Mereka mengutak-atik tools legal milik cloud, seperti Azure Special Administration Console dan Data Factory, untuk melakukan perintah jarak jauh, mentransfer data, dan bertahan di sistem tanpa terdeteksi. Bayangkan, mereka memanfaatkan fitur cloud yang legal untuk tujuan ilegal! Sasaran utama Scattered Spider adalah layanan berbasis cloud seperti Microsoft Entra ID, Amazon Web Services Elastic Computer Cloud, dan platform SaaS seperti Okta, ServiceNow, Zendesk, dan VMware Workspace ONE.

Mereka membuat situs phishing yang super mirip dengan halaman login resmi, sehingga korban tak curiga dan memasukkan kredensial mereka secara sukarela. Cerdas! Scattered Spider memanfaatkan sifat ramah pengguna dan accessibility dari cloud untuk melancarkan aksinya. Namun, mereka tak hanya menargetkan cloud. Mereka juga mengincar sistem keamanan berbasis fisik, seperti jaringan, server, dan hardware lainnya, menggunakan teknik yang sama. Di sini, Scattered Spider memadukan kemampuan sosial engineering dengan teknik hacking yang canggih untuk memanipulasi korban dan mengacaukan sistem.

Bagaimana mereka bisa menguasai strategi ini? Ternyata Scattered Spider sudah berkecimpung di dunia ransomware sejak tahun 2022. Mereka dikenal dengan kemampuan sosial engineering yang luar biasa, pemahaman mendalam tentang psikologi manusia, dan penguasaan bahasa Inggris yang mumpuni. Kemampuan mereka teruji dalam serangan ransomware terhadap Caesars Palace dan MGM Entertainment, yang membuat mereka semakin terkenal di dunia cybercrime. Awalnya mereka berkolaborasi dengan BlackCat/Alphv, tetapi kemudian beralih ke RansomHub dan Qilin setelah BlackCat/Alphv menghilang.

Saat ini, Scattered Spider menjadi buronan FBI dan pihak berwenang lainnya. Meskipun seorang remaja berusia 17 tahun yang terkait dengan grup ini ditangkap di Inggris pada Juli lalu, belum diketahui apakah Scattered Spider masih aktif. Namun, penelitian terbaru menunjukkan bahwa Scattered Spider masih menjadi ancaman nyata dan terus mengembangkan strategi serangannya. Analisis EclecticIQ mengumumkan bagaimana Scattered Spider memanfaatkan kelemahan cloud dan memanfaatkan teknik sosial engineering untuk mencuri data dan menjatuhkan ransomware.

Mereka telah mengembangkan sebuah kerangka kerja untuk membantu para defender dalam menghalau serangan ini. "Scattered Spider memanfaatkan sifat fleksibel dan mudah diakses dari cloud untuk melancarkan aksinya", ujar para peneliti. "Mereka seperti laba-laba yang pintar membangun sarang yang super halus dan memikat, menjebak korbannya dengan mudah". Berikut beberapa langkah yang dapat dilakukan perusahaan untuk melindungi diri dari serangan Scattered Spider: * Menerapkan autentikasi yang kuat. Pastikan sistem memiliki pengaturan multi-faktor autentikasi (MFA) yang kuat dan gunakan metode autentikasi yang berbeda untuk setiap akun.

* Memantau dan melacak aktivitas sistem. Perusahaan perlu memantau sistem secara ketat dan mendeteksi aktivitas mencurigakan. * Meningkatkan keamanan infrastruktur cloud. Pastikan layanan cloud yang digunakan memiliki pengaturan keamanan yang ketat, termasuk enkripsi data, kontrol akses, dan pemantauan keamanan. * Meningkatkan keamanan jaringan. Pastikan firewall dan sistem jaringan memiliki pengaturan keamanan yang kuat untuk mencegah serangan dari luar. * Melakukan pelatihan keamanan bagi karyawan. Karyawan perlu dilatih untuk mengenali dan menghindari serangan phishing dan sosial engineering.

* Menerapkan strategi "zero trust" dalam keamanan. Asumsikan bahwa semua orang adalah potensi ancaman dan jangan percaya pada siapa pun. * Memantau domain typo-squatting. Perusahaan perlu memantau domain yang mirip dengan domain mereka untuk mencegah serangan phishing. * Memperbarui sistem secara berkala. Pastikan sistem operasi, aplikasi, dan software lainnya selalu diperbarui dengan patch keamanan terbaru. * Menerapkan keamanan data. Pastikan data penting perusahaan dilindungi dengan sistem enkripsi yang kuat dan kontrol akses yang ketat.

* Membangun rencana tanggap insiden. Pastikan perusahaan memiliki rencana yang jelas dan teruji untuk mengatasi serangan ransomware. * Menjalin kolaborasi dengan tim keamanan siber. Perusahaan perlu menjalin kolaborasi erat dengan tim keamanan siber dan bekerja sama untuk menghadapi ancaman yang berkembang. * Membangun budaya keamanan. Setiap karyawan perlu dibekali pengetahuan tentang keamanan siber dan diajarkan untuk menjadi bagian dari solusi keamanan. "Jangan tertipu oleh Scattered Spider yang licik! Perkuat keamanan cloud kamu dan jangan mudah percaya dengan siapa pun", ujar para pakar.