Infostealers: Alarm Dini Serangan Ransomware?

pibitek.biz -Serangan siber, terutama serangan ransomware, adalah mimpi buruk bagi banyak perusahaan. Serangan ini bisa melumpuhkan operasi bisnis, mencuri data penting, dan menyebabkan kerugian finansial yang besar. Serangan ransomware hanya berhasil kalau ngagetin. Kayak kamu lagi asyik main game tiba-tiba listrik mati, ngeselin kan? Perusahaan yang udah punya firasat kalau bakal diserang ransomware pasti bisa gampang menangkisnya, cukup dengan nge-backup dan nge-enkripsi data mereka. Hal ini membuat perusahaan lebih aman dari serangan siber.

Namun, yang bikin menarik adalah penelitian SpyCloud di tahun 2024, yang menemukan kalau hampir sepertiga serangan ransomware tahun lalu udah dikasih kode rahasia oleh infostealer yang beraksi 16 minggu sebelumnya. Infostealer, yang diibaratkan sebagai pencuri informasi digital, beraksi kayak pencuri biasa. Dia masuk ke sistem, nyuri data rahasia seperti kredensial login, informasi pribadi, dan data kartu kredit. Informasi ini bisa dipakai buat ngerusak sistem atau dijual ke penjahat siber lainnya.

Hal ini menyebabkan kerugian yang sangat besar bagi perusahaan yang terkena serangan. Selain itu, infostealer juga bisa digunakan untuk mencuri informasi yang sensitif seperti rahasia dagang, data pelanggan, dan data keuangan. Bayangin aja, kayak pencuri yang ngecek dulu isi rumah sebelum ngebobol pintu. Infostealer kayak ngecek dulu apa aja yang ada di komputer sebelum ransomware datang ngelumpuhkan semuanya. Ini membuat serangan ransomware lebih efektif dan sulit untuk dideteksi. Kenapa infostealer dan ransomware suka kerja barengan? Karena keduanya saling nguntungin.

Infostealer bisa nyuri data yang berguna buat ngerusak sistem atau nge-hack akun, sementara ransomware bisa ngunci data dan ngerampas uang tebusan. Kerja sama ini membuat serangan siber lebih kompleks dan sulit untuk ditangani. Contohnya, di sebuah kasus yang diamati Sophos, geng ransomware Qilin masuk ke sistem target melalui VPN. Mereka ngasih jeda waktu 18 hari, baru nge-deploy infostealer buat ngambil kredensial Google Chrome. Setelah itu baru deh mereka ngelepas ransomware. Serangan ini menunjukkan bahwa geng ransomware menggunakan infostealer sebagai alat untuk mengumpulkan informasi dan mempersiapkan serangan ransomware.

Geng ransomware kayak Qilin yang punya kemampuan nge-hack tingkat tinggi mungkin bisa ngerjain semua proses sendiri, tapi yang lebih umum adalah kerjasama antara IAB (Initial Access Brokers) dan aktor ransomware. IAB kayak calo yang nyari mangsa dan nge-jual akses ke geng ransomware. Hal ini memungkinkan geng ransomware untuk fokus pada serangan ransomware dan meninggalkan tugas mendapatkan akses ke IAB. Stephen Robinson, analis intelijen ancaman senior di WithSecure, pernah nge-investigasi kasus serupa tahun lalu.

Pelakunya adalah kelompok malware-as-a-service (MaaS) asal Vietnam yang ngebagi-bagikan Trojan DarkGate ke perusahaan digital marketing. DarkGate ini jago ngerjain banyak hal, termasuk nyuri informasi dan kredensial, nge-hack akun cryptocurrency, dan ngelepas ransomware. Kelompok Vietnam ini gak perlu ngelakuin serangan ransomware sendiri. Mereka cukup nge-sebar DarkGate, RedLine, Qakbot, atau Raccoon, terus nge-jual aksesnya ke geng ransomware. Sistem ini nguntungin semua pihak. Chainalysis, perusahaan analis blockchain, menemukan korelasi antara jumlah uang yang diterima oleh IAB dan jumlah uang tebusan ransomware.

Ini menunjukkan bahwa IAB berperan penting dalam serangan ransomware dan mendapat keuntungan besar dari kejahatan siber. "Ini kayak sistem bisnis yang berkembang pesat", kata Trevor Hilligoss, Wakil Presiden SpyCloud Labs. "Malware-as-a-service gampang dan murah. Cuma bayar beberapa ratus dolar per bulan, kamu bisa punya paket siap pakai buat ngerjain serangan. Banyak infostealer yang udah nambahin fitur baru". Hal ini memudahkan para penjahat siber untuk melakukan serangan ransomware dan membuat serangan siber lebih mudah diakses.

Nah, pertanyaannya, kalau 30% serangan ransomware didahului oleh infostealer, apakah kita bisa nge-prediksi serangan ransomware dengan nge-deteksi infostealer? "Tergantung", kata Hilligoss. "Kalau kamu admin perusahaan asuransi multinasional besar, kamu harus waspada kalau ada infostealer di sistem kamu. Mungkin ransomware bakal muncul dalam waktu dekat. Tapi kalau kamu orang biasa atau pengusaha kecil, tingkat kewaspadaan kamu bisa dikurangi". Chainalysis juga ngeluarin pernyataan yang mirip, "Nge-monitor IAB bisa jadi alarm dini dan nge-bantu kita nge-tahan serangan".

Hal ini menunjukkan bahwa IAB dapat menjadi target pencegahan serangan ransomware karena mereka berperan penting dalam proses serangan. Robinson lebih pesimis. Menurut dia, langkah awal serangan siber biasanya mirip, gak peduli siapa pelakunya. "Yang jadi masalah adalah, begitu seseorang masuk ke sistem, nyuri kredensial, atau nginstal alat pemantauan jarak jauh (RMM), kita gak bisa nge-prediksi apa yang bakal terjadi selanjutnya", kata dia. "Kita pernah ngalamin kasus dimana jaringan kita di-hack sama lima atau enam kelompok berbeda.

Ada kelompok hacker dari Korea Utara, penambang cryptocurrency, geng ransomware, dan IAB. Kita gak bisa nge-prediksi langkah mereka berikutnya sampai mereka ngelakuinnya, karena langkah awal mereka semua sama. Sama kayak infostealer". Intinya, kalau kamu nge-deteksi infostealer di sistem kamu, "segera beresin masalahnya", kata Hilligoss. "Cari tahu sumber masalahnya, cek semua data yang dicuri, ganti kredensial yang dicuri, reset token autentikasi, dan ganti API key secepat mungkin. Langkah ini bakal nge-susahin aktor ransomware buat nge-pakai informasi yang mereka dapet buat ngerusak sistem".

Hal ini menunjukkan bahwa infostealer dapat menjadi indikator penting untuk mengidentifikasi potensi serangan ransomware. Namun, penting untuk dicatat bahwa langkah awal serangan siber biasanya mirip, sehingga sulit untuk memprediksi jenis serangan yang akan datang.