Image credit: Freepix
Musang Berbulu Ayam Ransomware Crazy – Dalam dunia keamanan siber, batas antara alat administrasi yang sah dan senjata peretasan menjadi semakin tipis.
Laporan terbaru dari para peneliti mengungkap tren yang mengkhawatirkan di mana kelompok ransomware “Crazy” menyalahgunakan perangkat lunak pemantauan karyawan dan alat dukungan jarak jauh (remote support) untuk menyusup, bertahan, dan melancarkan serangan di jaringan korporat.
Taktik ini dikenal sebagai strategi “bersembunyi di tempat terang”. Dengan menggunakan aplikasi yang umum dipakai oleh tim TI atau bagian HR, penyerang dapat membaur dengan lalu lintas jaringan yang sah, sehingga sulit dideteksi oleh sistem keamanan tradisional.
Infiltrasi melalui Alat Pemantauan Profesional
Peneliti mengamati beberapa insiden di mana aktor ancaman memasang perangkat lunak bernama Net Monitor for Employees Professional.
Menariknya, penyerang tidak membawa file malware sendiri, melainkan menggunakan utilitas Windows bawaan, msiexec.exe, untuk mengunduh dan memasang agen pemantauan tersebut langsung dari situs pengembang aslinya.
Setelah terpasang, alat yang seharusnya digunakan untuk memantau produktivitas ini berubah fungsi menjadi alat mata-mata yang kuat. Penyerang mendapatkan kemampuan untuk:
- Melihat layar desktop korban secara real-time (jarak jauh).
- Melakukan transfer file bolak-balik antara komputer korban dan server penyerang.
- Menjalankan perintah (command) secara interaktif seolah-olah mereka duduk di depan komputer tersebut.
Untuk memperkuat cengkeramannya, penyerang juga mencoba mengaktifkan akun administrator lokal menggunakan perintah sistem (net user administrator /active:yes), yang memberikan mereka kekuasaan penuh atas sistem yang telah terkompromi.
|
Baca juga: 2FA Perisai Digital Wajib Pengguna Internet |
Penggunaan SimpleHelp dan Penyamaran File
Kelompok “Crazy” tidak hanya mengandalkan satu jalur akses. Para peneliti menemukan bahwa mereka juga memasang klien akses jarak jauh SimpleHelp melalui perintah PowerShell sebagai cadangan (redundansi).
Jika salah satu alat ditemukan dan dihapus oleh tim keamanan, penyerang masih memiliki jalur masuk lainnya.
Kecerdikan kelompok ini terlihat dari cara mereka menyamarkan file berbahaya agar terlihat seperti komponen sistem yang sah:
- Meniru Visual Studio: Menggunakan nama file vshost.exe untuk mengelabui teknisi yang memeriksa daftar proses yang berjalan.
- Meniru Layanan Cloud: Menyembunyikan biner SimpleHelp di direktori sistem dengan nama OneDriveSvc.exe untuk berpura-pura menjadi bagian dari layanan Microsoft OneDrive.
Selain itu, penyerang secara aktif berusaha melumpuhkan pertahanan komputer dengan menghentikan dan menghapus layanan yang terkait dengan Windows Defender, memastikan bahwa aktivitas jahat mereka tidak memicu alarm keamanan.
Target Kripto dan Tim TI
Salah satu temuan paling menarik dalam investigasi ini adalah penggunaan fitur “aturan pemantauan” pada alat tersebut.
Penyerang mengonfigurasi sistem untuk memberi tahu mereka secara otomatis jika korban mengakses hal-hal tertentu.
Berdasarkan log yang ditemukan peneliti, agen tersebut terus-menerus memantau kata kunci yang terkait dengan:
- Dompet Kripto: Kata kunci seperti metamask, exodus, wallet, dan blockchain.
- Bursa Kripto: Situs seperti binance, bybit, kucoin, hingga platform pembayaran payoneer.
- Alat Akses Jarak Jauh Lainnya: Penyerang memantau penggunaan AnyDesk, TeamViewer, RDP, dan VNC. Tujuannya adalah untuk mendeteksi jika ada orang lain (seperti admin TI asli) yang sedang terhubung ke mesin tersebut, sehingga penyerang bisa segera bersembunyi atau memutuskan koneksi.
|
Baca juga: AI Agen Rentan Manipulasi dan Bocor Data |
Kaitan dengan Keamanan Siber di Indonesia
Metode yang digunakan oleh kelompok “Crazy” ini sangat relevan dan berbahaya bagi lanskap digital di Indonesia:
- Kelemahan pada Kredensial VPN Investigasi menunjukkan bahwa pintu masuk utama serangan ini adalah melalui kredensial SSL VPN yang telah terkompromi. Di Indonesia, banyak perusahaan menggunakan VPN untuk akses kerja jarak jauh, namun sering kali lupa mengaktifkan Autentikasi Multi-Faktor (MFA). Tanpa MFA, penjahat siber hanya butuh satu kata sandi yang bocor untuk menguasai seluruh jaringan perusahaan.
- Penggunaan Software Retakan (Cracked Software) Budaya menggunakan software bajakan atau alat administratif gratis di beberapa sektor industri di Indonesia memperbesar risiko ini. Penyerang sering kali menyisipkan script serupa dalam aktivator software bajakan yang kemudian mengunduh alat pemantauan sah untuk dijadikan pintu belakang (backdoor).
- Kurangnya Pemantauan Terhadap Alat “Legal” Banyak tim keamanan siber di Indonesia lebih fokus mencari virus atau ransomware tradisional, namun jarang mencurigai kehadiran alat pemantauan karyawan atau remote support seperti SimpleHelp. Jika alat ini tidak terdaftar dalam inventaris resmi perusahaan, kehadirannya seharusnya dianggap sebagai indikasi serangan (IoC).
Langkah Mitigasi
Kelompok “Crazy” membuktikan bahwa serangan siber yang sukses tidak selalu membutuhkan malware yang rumit.
Dengan menyalahgunakan perangkat lunak yang sah, mereka dapat beroperasi di bawah radar dalam waktu yang lama.
Untuk melindungi organisasi dari taktik ini, para peneliti menyarankan:
- Wajib MFA: Terapkan autentikasi multi-faktor pada semua layanan akses jarak jauh, terutama VPN.
- Audit Software: Lakukan audit berkala terhadap semua aplikasi remote desktop dan pemantauan yang terpasang di komputer karyawan. Pastikan hanya aplikasi resmi perusahaan yang diizinkan.
- Pantau Aktivitas Windows Defender: Berikan peringatan segera jika ada layanan keamanan sistem yang dihentikan secara paksa atau dihapus.
Sumber berita:
