Pertanyaan: Bagaimana cara kami mencegah broker akses awal menjual akses ke jaringan kami kepada pelaku ransomware yang menginginkannya?

Ram Elboim, CEO, Sygnia: Saat ransomware terus berlanjut tumbuh sebagai ancaman dunia maya, spesialisasi baru di kalangan kelompok kejahatan dunia maya telah memberi mereka keunggulan dalam hal efisiensi. Salah satu bidang spesialisasi yang tumbuh paling cepat melibatkan operator yang melakukan outsourcing pekerjaan untuk mendapatkan akses ke jaringan korban broker akses awal (IAB).

Pada awal serangan ransomware, penyerang memerlukan akses awal ke jaringan organisasi yang ditargetkan, di mana IAB berperan. IAB cenderung merupakan pelaku ancaman oportunistik tingkat rendah yang secara sistematis mendapatkan akses ke organisasi — sering kali melalui kampanye phishing atau spam — dan kemudian menjual akses tersebut di forum bawah tanah kepada aktor lain, termasuk afiliasi ransomware-as-a-service (RaaS). Afiliasi tersebut, yang terus-menerus membutuhkan lebih banyak akses ke organisasi agar tetap aktif, semakin bergantung pada IAB untuk menyediakan akses tersebut.

Juga dikenal sebagai access-as-a-service, akses siap pakai yang ditawarkan oleh IAB telah menjadi bagian integral dari ekosistem ransomware. IAB memberikan informasi awal yang dibutuhkan kelompok ransomware untuk melakukan penetrasi sehingga operator dapat dengan cepat menargetkan korban yang lebih luas, mengakses jaringan mereka, dan bergerak ke samping hingga mereka mendapatkan kendali yang cukup untuk melancarkan serangan. Ini adalah model yang efisien untuk melanggengkan kejahatan dunia maya, yang membantu mendorong pertumbuhan ransomware.

Bagaimana IAB Mendapatkan Akses

IAB umumnya menyediakan rute termudah untuk mendapatkan akses jaringan, paling sering melalui teknologi jaringan pribadi virtual (VPN) atau Protokol Desktop Jarak Jauh (RDP). Pelaku ancaman dapat mengeksploitasi sebagian dari hal tersebut banyak kerentanan VPN yang ditemukan para peneliti dalam beberapa tahun terakhir, atau mereka dapat memindai jaringan untuk mencari port RDP terbuka dan menindaklanjutinya dengan berbagai teknik untuk mendapatkan informasi login.

Secara keseluruhan, sekitar dua pertiga dari jenis akses yang dijual di Web Gelap adalah akun RDP dan VPN yang memungkinkan koneksi langsung ke jaringan korban, menurut “Laporan Kejahatan Teknologi Tinggi” Group-IB. Akses Citrix, berbagai panel Web (seperti sistem manajemen konten atau solusi cloud), dan shell Web pada server yang disusupi lebih jarang terjadi. Kredensial email atau log pencuri informasi yang bocor juga sangat populer, sangat tersedia, dan murah.

Operator Ransomware menggunakan Web Gelap untuk membeli kredensial guna menembus jaringan yang ditargetkan. Group-IB menemukan bahwa penawaran akses awal meningkat lebih dari dua kali lipat antara tahun 2021 dan 2022, sementara jumlah IAB meningkat hampir 50%. Harga untuk akses korporat bisa mulai dari beberapa dolar hingga ratusan ribu dolar untuk target bernilai tinggi.

Menjamurnya kredensial pasar gelap menimbulkan risiko besar bagi organisasi lintas sektor di seluruh dunia. Baik ancaman tersebut berasal dari peretas individu tingkat rendah atau operasi kejahatan dunia maya yang sangat terampil, organisasi perlu meningkatkan perlindungan akses mereka.

Mengungkap Ancaman Pencurian Kredensial

IAB dan afiliasi RaaS-nya hanya memerlukan satu titik masuk ke setiap organisasi sasaran untuk memulai serangan, dan ini memberi mereka keuntungan tersendiri. Setiap karyawan tanpa disadari dapat memberikan akses yang dibutuhkan pelaku ancaman ini, baik melalui penipuan phishing, penyebaran infostealer, atau cara lainnya. Dalam beberapa kasus, pelaku ancaman dapat memperoleh akses ke komputer di rumah karyawan, bukan di stasiun kerja kantor, dan menggunakannya untuk masuk ke jaringan perusahaan. Hal ini membuat mitigasi ancaman menjadi tantangan yang sangat sulit. Namun ada langkah-langkah efektif yang dapat diambil sebuah organisasi.

Kami telah mengamati lusinan insiden ransomware yang akar penyebab serangannya adalah pencurian kredensial akses. Namun, dalam sebagian besar insiden ini, tim intelijen ancaman kami mendeteksi beberapa kebocoran kredensial ini dengan memantau saluran media sosial, forum Web Gelap, dan pasar bawah tanah.

Dalam salah satu insiden tersebut, klien terkena serangan pemerasan oleh salah satu kelompok ransomware paling signifikan. Saat memulai penyelidikan, tim intelijen ancaman kami mengidentifikasi permintaan kredensial korban di saluran Telegram berbahaya di mana pelaku dapat meminta data yang bocor dan mendapatkan respons segera melalui bot. Kami kemudian mengetahui bahwa bukti pertama akses penyerang ke jaringan tersebut diidentifikasi hanya beberapa hari setelah permintaan diajukan.

Dalam insiden lain yang juga terkait dengan serangan ransomware, tim intelijen ancaman kami mendeteksi beberapa log infostealer yang ditawarkan di pasar Rusia yang berisi login ke aset korban. Setelah tim membeli log ini dan menganalisisnya, mereka mengekstrak kredensial yang bocor milik karyawan vendor pihak ketiga, yang kemudian ditemukan oleh tim respons insiden sebagai penyebab utama akses awal.

Mengurangi Bahaya Kredensial yang Disusupi

Deteksi dini terhadap data akses ini mungkin dapat mencegah setidaknya beberapa serangan ini, jika kredensial yang bocor tersebut ditemukan dan dinetralisir dengan cepat. Beberapa tindakan pencegahan untuk memitigasi penyusupan kredensial telah tersedia, dimulai dengan langkah-langkah yang terbukti melindungi terhadap penyalahgunaan identitas jaringan:

Organisasi juga harus terus memantau Dark Web dan Open Web untuk mengetahui kebocoran kredensial karyawan, serta mitra bisnis yang aksesnya dapat dimanfaatkan melalui konektivitas pihak ketiga dan aset bersama. Mereka juga harus mencari indikasi log pencurian informasi yang dicuri dari kredensial yang disusupi dan data yang melibatkan karyawan atau mitra bisnis.

Ketika organisasi menemukan kredensial untuk dijual, mereka dapat mengubahnya sehingga IAB tidak lagi dapat menggunakannya untuk mengakses. Jika kredensial tidak dapat diubah, organisasi setidaknya dapat mendeteksi upaya akses dan memblokirnya.

IAB memungkinkan pertumbuhan ransomware dengan melakukan langkah pertama dalam serangan: mendapatkan akses. Organisasi yang mengambil langkah-langkah untuk mengamankan identitas penggunanya dapat mencegah IAB berhasil dalam serangan ini.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/how-to-reduce-threats-from-the-initial-access-brokers-market