Brute Force Ungkap Ekosistem Ransomware Global

Brute Force Ungkap Ekosistem Ransomware Global – Bagi banyak tim pertahanan siber, peringatan serangan brute force pada layanan Remote Desktop Protocol (RDP) yang terbuka sering kali dianggap sebagai “kebisingan latar belakang” aktivitas rutin yang cukup diperiksa lalu diabaikan.

Namun, para peneliti baru-baru ini menemukan bahwa satu peringatan rutin tersebut justru menjadi pintu masuk menuju ekosistem Ransomware-as-a-Service (RaaS) dan jaringan broker akses awal yang sangat luas.

Investigasi ini bermula dari deteksi aktivitas sederhana yang kemudian berkembang menjadi pengungkapan infrastruktur terdistribusi secara geografis dan layanan VPN mencurigakan yang digunakan oleh para penjahat siber kelas kakap.

Dari Satu Akun ke Jaringan Luas

Dalam kasus ini, sebuah jaringan mengekspos server RDP ke internet publik. Meskipun berbahaya, banyak bisnis merasa tidak punya pilihan selain membiarkannya terbuka karena alasan operasional.

Tim pemantau keamanan (SOC) menerima peringatan mengenai pemindaian domain (domain enumeration) dan segera bertindak.

Melalui pemeriksaan log peristiwa Windows, peneliti menemukan bahwa layanan RDP sedang dibombardir dengan serangan brute force.

Meskipun teknik ini dianggap sebagai taktik “dasar”, penyelidikan tetap menantang karena banyaknya data log yang sering kali terhapus atau tertutup oleh aktivitas pemindaian inventaris rutin.

Namun, data penting berhasil diselamatkan dan mengungkap hal-hal berikut:

• Satu Titik Tembus: Dari sekian banyak akun yang diserang, hanya satu akun yang berhasil dibobol.
• Pola Akses yang Tidak Biasa: Akun yang kompromi tersebut diakses dari berbagai alamat IP yang tersebar secara global. Ini menunjukkan bahwa penyerang menggunakan infrastruktur yang memungkinkan mereka berpindah-pindah server untuk menghindari deteksi.
• Tindakan Lanjut: Setelah mendapatkan akses, penyerang mulai memetakan konfigurasi domain dan grup pengguna di dalam jaringan sebelum akhirnya tim keamanan melakukan isolasi jaringan secara total untuk mencegah pergerakan lateral.

Keanehan dalam Pencarian Kredensial

Biasanya, ketika peretas masuk ke jaringan, mereka akan langsung menggunakan alat otomatis seperti Mimikatz atau Procdump untuk mengambil kata sandi dari memori sistem (LSASS) atau registri Windows. Namun, dalam kasus ini, peneliti menemukan perilaku yang berbeda.

Penyerang secara manual menelusuri sistem file dan berbagi file (file shares) untuk mencari kata sandi di dalam dokumen teks. Mereka tertangkap kamera sedang menggunakan aplikasi Notepad untuk membuka file teks yang berisi daftar kredensial.

Peneliti berhipotesis bahwa ini adalah metode manual untuk menemukan kredensial historis atau lama yang mungkin tidak tersimpan di memori sistem, namun masih berlaku untuk mengakses sumber daya penting lainnya.

Jejak ke Kelompok Ransomware

Ketika peneliti menelusuri alamat IP yang digunakan untuk serangan brute force, mereka menemukan koneksi yang mengejutkan:

• Kaitan dengan Geng Ransomware: Beberapa IP terdeteksi terkait dengan aktivitas ransomware Hive dan BlackSuite.
• Sertifikat TLS yang Mencurigakan: Melalui analisis sertifikat keamanan pada IP tersebut, ditemukan domain specialsseason[.]com. Nama “Special Season” atau “Big Game Hunting” sering digunakan di dunia bawah siber untuk mendeskripsikan serangan ransomware yang menargetkan organisasi bernilai tinggi.
• Jaringan Global: Domain tersebut terhubung ke puluhan IP dengan skema penamaan berdasarkan kode negara (seperti NL-SE untuk Swedia, NL-US untuk Amerika Serikat, hingga NL-RU untuk Rusia). Ini menunjukkan jaringan infrastruktur yang sangat kuat dan tersebar di seluruh dunia.

Selain itu, ditemukan pula penggunaan layanan VPN mencurigakan melalui domain 1vpns[.]com. Layanan ini diiklankan sebagai VPN tanpa log (no logs).

Yang menjadikannya alat ideal bagi penjahat siber untuk menyembunyikan jejak mereka saat melakukan serangan.

Korelasi dengan Keamanan Bisnis di Indonesia

Temuan ini membawa peringatan penting bagi pemilik infrastruktur digital di Indonesia:

1. Bahaya Eksposur RDP Tanpa Proteksi

Banyak perusahaan di Indonesia masih mengandalkan RDP untuk kerja jarak jauh tanpa menggunakan VPN atau Autentikasi Multifaktor (MFA).

Kasus ini membuktikan bahwa satu keberhasilan serangan brute force sudah cukup bagi broker akses awal untuk menjual “pintu masuk” perusahaan Anda kepada operator ransomware.

2. Fokus pada Pencarian Kredensial Manual

Kebiasaan karyawan atau admin di Indonesia yang sering menyimpan daftar kata sandi dalam file teks (.txt) atau Excel di komputer kantor menjadi “tambang emas” bagi penyerang yang melakukan pencarian manual seperti dalam kasus ini.

3. Infrastruktur Global yang Tersamar

Serangan siber yang menimpa organisasi lokal mungkin tidak datang dari satu lokasi tunggal. Dengan adanya infrastruktur terdistribusi, penyerang dapat terlihat seolah-olah berasal dari berbagai negara yang berbeda, sehingga menyulitkan proses pemblokiran berbasis geografis (geo-blocking).

Melampaui Respons Tradisional

Kasus ini menunjukkan bahwa kita perlu melihat lebih jauh dari sekadar insiden tunggal. Berikut adalah langkah mitigasi yang direkomendasikan peneliti:

1. Serangan “dasar” seperti brute force bisa jadi adalah awal dari operasi ransomware besar. Selalu investigasi asal-usul login yang berhasil.
2. Jika RDP harus diekspos, penggunaan MFA adalah harga mati untuk mencegah akses meskipun kata sandi berhasil ditebak.
3. Bersihkan sistem dari file teks atau dokumen yang menyimpan kata sandi. Gunakan solusi manajemen kata sandi (password manager) yang aman.
4. Awasi lalu lintas menuju penyedia VPN mencurigakan atau anonim yang sering digunakan oleh aktor ancaman.

Investigasi ini membuktikan bahwa benang bukti yang kecil dapat mengungkap dan mengurai seluruh jaringan infrastruktur ransomware.

Dengan tidak mengabaikan peringatan “rutin”, tim keamanan dapat menghentikan broker akses sebelum mereka sempat menyerahkan kendali jaringan Anda kepada ekosistem kejahatan siber yang lebih besar.

Sumber berita:

WeLiveSecurity