Beberapa hari lalu dalam artikel yang dimuat di BacaPikirShare dibahas mengenai ramsomware GrandCrab yang bereinkarnasi dalam wujud ransomware berbeda dan fokus menyerang Manage Service Provider (MSP). Serangan terhadap MSP rupanya bukan sekedar kebetulan belaka tetapi sudah menjadi tren di dunia bawah tanah. Kerajaan kejahatan dunia maya memberikan berbagai penawaran yang menargetkan MSP di seluruh dunia, di mana pembelinya bisa membeli berdasarkan level akses yang diinginkan.
Peretas tidak selalu perlu menembus jaringan korban mereka sendiri untuk menanam malware karena ada banyak penyusup profesional yang menawarkan layanan mereka di pasar bawah tanah. Berbagai tingkat akses ditawarkan untuk harga mulai $1.000 dan meningkat tergantung pada seberapa dalam peretas telah menyusup.
Level akses
Entitas dari berbagai sektor telah dikompromikan, dengan Manage Service Providers (MSP) menjadi yang paling menarik karena dapat menjadi batu loncatan untuk menghasilkan korban dalam jumlah besar.
MSP dengan 100 pelanggan dianggap berukuran sedang oleh penyusup jaringan yang ingin menjual kredensial akun admin yang dapat digunakan untuk mendapatkan nama pengguna dan kata sandi yang digunakan klien untuk masuk ke platform MSP.
Harga level akses sedang berkisar 700 dolar di pasar bawah tanah dalam sebuah investigasi di dunia bawah tanah, dan iklan yang disajikan biasanya disertakan pula batas waktu, contohnya dalam suatu kasus batas waktu 48 jam untuk melakukan transaksi.
Dalam kasus lain, seseorang menjual akses ke target yang tidak disebutkan namanya namun diilustrasikan sebagai perusahaan pajak terbesar di AS di Fortune 500. Peretas meminta $3.500 untuk memberikan kunci ke jaringan internal, dimana peretas dapat mengakses lebih dari 500.000 klien perusahaan melalui koneksi jarak jauh. Sedangkan untuk mendapatkan akses ke pelanggan individu juga ditawarkan sebesar $1.000.
Dalam iklan lain berbagai hal ditawarkan seperti akses ke berbagai entitas di sektor publik dan swasta, termasuk MSP Spanyol, produsen elektronik, dan perusahaan utilitas berbasis di Amerika Serikat. Di tempat lain ditawarkan kredensial milik eksekutif, akses ke server mailbox, ke portal manajemen konten yang digunakan rumah sakit, firma hukum dan sekolah atau hak istimewa tingkat root yang membuka semua pintu dijual bebas.
Perdagangan ini terjadi di forum cybercriminal terbuka sama sekali tidak bersembunyi seperti di dalam dark web. Beberapa dari mereka tertutup untuk tampilan publik tetapi login dapat dibeli meskipun tidak begitu mudah.
Jenis visibilitas ini memudahkan peretas yang masih hijau atau dengan kemampuan minim untuk menyusupkan malware mereka saat mereka membayar ke jaringan korban. Cara ini elas lebih mudah ketimbang harus memikirkan metode macam apa yang harus digunakan untuk masuk ke dalam sistem target.
Saran ESET
Menghadapi situasi gawat semacam ini, untuk melindungi diri ada beberapa langkah yang dapat dilakukan oleh MSP sebagi berikut:
-
Menerapkan kebijakan 2FA
-
Gunakan Plugin Manajemen Endpoint Langsung untuk menyederhanakan fungsi administrasi keamanan di lingkungan klien Anda.
-
Nonaktifkan atau ubah port default untuk RDP pada mesin yang tidak memerlukan protokol ini.
-
Untuk mesin yang memerlukan RDP berjalan, kata sandi melindungi solusi keamanan yang diinstal pada semua endpoint. Ini akan mencegah peretas mencopot pemasangan atau menonaktifkan perlindungan endpoint.
-
Gunakan kata sandi yang berbeda dari kredensial masuk RDP Anda untuk melindungi solusi keamanan Anda.
-
Terapkan solusi pencadangan untuk semua data penting, termasuk setidaknya satu cadangan offline.
-
Batasi penggunaan alat yang dapat dimanfaatkan untuk masuk ke sistem seperti mimikatz, wce, PStools, VNC, net, TeamViewer, WMIC, sdelete, lazagne
Langkah penting lain yang perlu diterapkan dalam sistem pertahanan MSP adalah menggunakan perangkat lunak Data Leak Prevention (DLP) dalam hal ini Safetica dan Network Traffic Analysis (NTA) atau analisis lalu lintas jaringan seperti GREYCORTEX.
Data Leak Prevention (DLP) Safetica adalah strategi untuk memastikan bahwa endpoint tidak mengirim iinformasi sensitif dan penting di luar jaringan perusahaan. Selain memudahkan admin jaringan mengontrol data apa saja yang boleh di transfer endpoint. DLP akan melindungi informasi sensitif perusahaan terhadap penyalahgunaan oleh orang yang tidak bertanggung jawab dan bahkan terhadap akses pihak ketiga, memprediksi ancaman ke depan, memberi peringatan dan mencegah situasi kritis lebih awal sebelum menjadi lebih berbahaya.Dengan demikian mencegah kerugian keuangan dan kerusakan reputasi perusahaan.
Fungsi Safetica tidak hanya melindungi data komputer dari serangan insider, lebih dari itu Safetica juga mampu meningkatkan produktifitas kerja perusahaan dengan dukungan fitur-fitur yang dirancang sedemikian rupa untuk mengelola aktivitas kantor. Dengan menjadi sarana monitoring untuk manajemen saat ada perubahan aktivitas user dan produktivitas departemen. Kedua perubahan kebiasaan ini tentunya menjadi potensi resiko untuk perusahaan.
Di sisi lain perusahaan perlu juga memasang NTA, analisis lalu lintas jaringan sangat penting bagi perusahaan untuk dapat memantau segala aktivitas yang terjadi di jaringan baik yang masuk ataupun yang keluar.
GREYCORTEX dengan solusinya yang bernama Mendel adalah Technology Alliance dari firma keamanan ESET. Teknologi analisis lalu lintas jaringan yang dibangun menggunakan kombinasi kecerdasan buatan, machine learning dan analis data canggih untuk menganalisis setiap anomali perilaku yang tidak diketahui, mendeteksi ancaman pada keseluruhan infrastruktur perusahaan dan lalu lintas jaringan, yang memberikan peringatan setiap kali ada bahaya yang datang.
GREYCORTEX hadir untuk membantu perusahaan dalam menjalani rutinitas dan aktivitas bisnis, selama 24/7 mengawasi lalu lintas jaringan yang menuju ke domain mencurigakan, mendeteksi malware sehingga dapat diketahui kehadirannya lebih awal. Dengan dapat mengenali dan menemukan sumber masalah, memudahkan perusahaan merespons lebih cepat dan efisien.
GreyCortex menganalisis tanpa terkecuali. Menghasilkan dan menyimpan metadata yang sangat terperinci untuk berbagai kinerja jaringan, keamanan, dan manajemen. Instalasi yang mudah dan menyebarkan pada perangkat keras standar, termasuk di lingkungan virtualisasi seperti VMWare atau Hyper-V dan mudah dikelola, GreyCortex menyediakan visibilitas total di seluruh jaringan organisasi dalam hitungan menit.
MSP atau perusahaan apa pun di dunia dapat memanfaatkan Safetica dan GREYCORTEX sebagai metode untuk melindungi diri dari serangan penyusup profesional atau insider dan mengawasi lalu lintas jaringan baik yang di dalam perimeter maupun di luar perimeter sehingga dapat melindungi diri dari berbagai serangan siber di dunia maya.
