Aktivitas kelompok peretas papan atas meningkat secara signifikan selama setahun terakhir. Korban di sektor keuangan tersebar di lebih dari 30 negara dan kerugian finansial mencapai empat kali lipat. Kelompok peretas ini mulai beroperasi dengan sangat hati-hati pada tahun 2016. Sejak itu, ia berhasil mencuri setidaknya $ 4,2 juta, awalnya dari bank-bank di bekas Uni Soviet, kemudian dari para korban di Eropa, Amerika Latin, Afrika, dan Asia.
Dalam sebuah laporan tahun lalu merinci peran kelompok peretas mulai dari, keterampilan, kegagalan, dan perampokan bank yang berhasil. Pada bulan September 2018, para peneliti mengetahui operasi siber mereka menggarap bank-bank dunia membuat kelompok tersebut meraih keuntungan lebih dari $800.000.
Senjata dan strategi baru
Para peneliti mengatakan bahwa kelompok peretas telah meningkatkan keamanan operasionalnya dan mengubah perangkatnya untuk menghindari deteksi. Selain menulis ulang modul tahap pertamanya, grup ini mulai menggunakan loader fileless berbasis PowerShell yang disebut Ivoke.
Powershell baru digunakan untuk gerakan lateral dalam jaringan korban, yang disebut EmpireDNSAgent (EDA) karena didasarkan pada kerangka kerja Empire yang baru-baru ini ditinggalkan dan proyek dnscat2.
Pada Oktober 2018, mereka mulai mengirimkan surel pengintaian sebagai bagian dari persiapan serangan dengan lebih baik. Pesan yang diemail tidak membawa payload untuk diseksekusi dan akan berpura-pura menjadi balasan otomatis untuk pengiriman yang gagal.
Tujuannya adalah untuk memperoleh daftar terbaru dari alamat email aktif dari target. Mereka setidaknya mengirimkan lebih dari 170.000 email selama tiga operasi terpisah terhadap calon korban mereka di Asia, Eropa, dan negara-negara pecahan Soviet.
Cara kerja serangan
Dari 170.000 email yang disebar, sebagian besar dikirim ke wilayah Asia sebesar 80.000 pesan ‘pengiriman gagal’ ke 12 negara target. Seperti terlihat pada gambar di bawah, sebagian besar target berada di Taiwan, Malaysia, dan Korea Selatan. Indonesia juga masuk dalam sasaran tebaran email dengan jumlah cukup besar yang seperti merupakan targeted attack. Sementara, pengintaian lembaga keuangan di Eropa adalah yang terkecil, dengan kurang dari 10.000 email yang dikirimkan. Fokusnya adalah pada perusahaan keuangan Inggris.
Setelah memvalidasi alamat email, pelaku mulai beranjak ke tahap serangan berikutnya dan mulai mengirimkan pesan dengan muatan yang mengunduh malware khusus. Pergerakan lateral dan persisten yang dilakukan menggunakan alat yang dikembangkan mereka sendiri atau binari yang sudah tersedia di sistem target.
Pada tahap akhir, pelaku mencapai mesin pengolah kartu dan dapat mengontrol ATM menggunakan trojan atau program yang disebut ‘xfs-disp.exe’ untuk mengeluarkan untuk ditransfer ke money mules atau adalah orang yang mentransfer uang yang diperoleh secara ilegal secara langsung, melalui jasa kurir, atau secara elektronik, atas nama orang lain. Biasanya, mereka dibayar dengan sebagian kecil dari uang yang ditransfer.
Dalam periode Mei 2018 sampai dengan 1 Agustus 2019, para peneliti melacak serangan, pengintaian, dan kampanye phising yang sebagian besar dilakukan terhadap bank-bank di Rusia. Para peretas memanfaatkan setiap sumber daya dan kemungkinan.
Awal 2019 mereka beralih ke target di Eropa dan menyerang organisasi keuangan di Inggris. Mereka mengirim file dengan tanda tangan yang valid dari SEVA Medical LTD. Meski demikian, mereka tidak mengalihkan fokus dari bank-bank Rusia. Pada bulan Februari, Omsk IT Bank berhasil mereka retas dan mencuri sekitar $400.000.
Serangan sukses lainnya terjadi di bank-bank di Chili, Bulgaria, Kosta Rika, Ghana, Bangladesh dan India. Mereka sangat bergantung pada tool sendiri yang tidak digunakan oleh kelompok lain dan terus menyesuaikan taktik dan strategi untuk selalu bisa terhindar dari pantauan peneliti dan solusi keamanan.
Mitigasi
Serangan melalui email memang sulit untuk dideteksi tapi bukan berarti tidak bisa. Email umumnya akan lolos dari pengawasan firewall tapi tidak dari solusi keamanan seperti Mail Security. Perangkat lunak seperti ESET Mail Security mampu mendeteksi, memilah dn memilih mana email yang berpotensi berbahaya jauh sebelum masuk ke dalam sistem.
Cara lain, adalah menggunakan Network Traffic Analysis (NTA) atau analisis lalu lintas jaringan, yang bekerja selama 24/7 mengawasi setiap aktivitas sekecil apa pun yang terjadi di jaringan. Apabila ada anomali atau penyimpangan yang muncul, NTA mampu mendeteksinya, mengenali permasalahan sebelum serangan datang. Seperti Greycortex, analisis lalu lintas jaringan yang merupakan Technology Alliance ESET juga memiliki kemampuan deteksi yang sangat terperinci sehingga jaringan komputer aman sepenuhnya.
