Ratusan Ribu Firewall Menjadi Target Perburuan Kredensial

Ratusan Ribu Firewall Menjadi Target Perburuan Kredensial – Perangkat keamanan jaringan seperti firewall sering dianggap sebagai garis pertahanan pertama dalam melindungi organisasi dari ancaman siber.

Namun ironisnya, perangkat yang seharusnya menjadi pelindung justru dapat berubah menjadi target utama bagi pelaku kejahatan siber.

Baru-baru ini, para peneliti mengungkap sebuah operasi pencurian kredensial berskala besar yang diberi nama FortiBleed.

Kampanye ini diketahui menargetkan lebih dari 430.000 firewall yang terhubung ke internet dan digunakan oleh berbagai organisasi di seluruh dunia.

Yang membuat operasi ini menarik adalah fokus utamanya bukan pada penyebaran ransomware atau penghancuran sistem, melainkan pengumpulan akses dan kredensial yang kemudian dapat digunakan atau dijual kepada pihak lain untuk berbagai tujuan kriminal.

Apa Itu Initial Access Broker?

Kelompok yang berada di balik FortiBleed diyakini merupakan Initial Access Broker (IAB), yaitu pelaku yang secara khusus mencari, memperoleh, dan memperdagangkan akses ke sistem organisasi.

Dalam ekosistem kejahatan siber modern, Initial Access Broker dapat diibaratkan sebagai “pemasok” yang menyediakan pintu masuk bagi pelaku ancaman lainnya.

Mereka biasanya:

1. Mengumpulkan kredensial.
2. Menembus perangkat yang terekspos internet.
3. Mencari akun administrator.
4. Menjual akses kepada kelompok ransomware.
5. Menjual akses kepada pelaku pencurian data.
6. Menjual akses kepada operator spionase siber.

Model bisnis semacam ini membuat serangan siber menjadi lebih terorganisasi dan efisien dibandingkan sebelumnya.

Skala Operasi yang Mengkhawatirkan

Menurut hasil investigasi, FortiBleed telah aktif sejak Februari 2026 dan menargetkan berbagai perangkat yang terhubung langsung ke internet.

Tidak hanya firewall, pelaku juga diketahui mencoba mengakses berbagai layanan dan perangkat lainnya, termasuk:

• Perangkat penyimpanan jaringan (NAS).
• Portal akses jarak jauh.
• VPN perusahaan.
• Server basis data.
• Layanan autentikasi organisasi.

Pendekatan ini menunjukkan bahwa pelaku tidak berfokus pada satu vendor tertentu, melainkan berusaha memperoleh sebanyak mungkin akses dari berbagai jenis perangkat yang dapat dihubungkan ke lingkungan organisasi.

Bagaimana FortiBleed Bekerja?

Operasi FortiBleed dilakukan melalui beberapa tahapan yang berjalan secara sistematis.

1. Pemetaan Target. Pelaku terlebih dahulu melakukan pemindaian internet dalam skala besar untuk menemukan perangkat yang dapat diakses dari luar.
2. Validasi dan Pengujian Kredensial. Setelah menemukan target potensial, pelaku mencoba berbagai kombinasi kredensial yang diperoleh dari kebocoran data sebelumnya maupun daftar kata sandi yang umum digunakan.
3. Memperoleh Akses Administratif. Jika berhasil masuk ke perangkat, pelaku berupaya memperoleh hak akses yang lebih tinggi untuk mengendalikan sistem.
4. Pengumpulan Kredensial. Pada tahap ini, alat khusus dipasang untuk memantau lalu lintas autentikasi dan mengumpulkan berbagai informasi login yang melintas pada perangkat yang telah dikompromikan.
5. Eksploitasi dan Monetisasi. Kredensial yang berhasil diperoleh kemudian diverifikasi, dianalisis, dan digunakan untuk mengakses sistem lain atau dijual kepada pihak ketiga.

Lebih dari 110 Juta Kredensial Teridentifikasi

Salah satu temuan paling mencolok dalam laporan tersebut adalah besarnya jumlah data autentikasi yang berhasil dikumpulkan.

Peneliti memperkirakan pelaku berhasil mengidentifikasi lebih dari 110 juta kredensial dan token autentikasi, termasuk:

• 14,8 juta kredensial RADIUS.
• 924 ribu hash NTLM.
• 130 ribu hash Kerberos.
• 89 juta token autentikasi basis data MySQL.

Angka ini menunjukkan betapa berharganya kredensial dalam dunia kejahatan siber modern. Bagi pelaku, satu akun yang valid dapat menjadi pintu masuk menuju jaringan organisasi yang jauh lebih besar.

Mengapa Organisasi Kecil Menjadi Sasaran?

Temuan menarik lainnya adalah fokus pelaku terhadap organisasi kecil dan menengah (SMB).

Banyak organisasi kecil menganggap diri mereka bukan target yang menarik bagi pelaku ancaman. Namun kenyataannya, organisasi semacam ini sering kali memiliki:

• Pengelolaan keamanan yang terbatas.
• Tim TI yang kecil.
• Monitoring keamanan yang minim.
• Kebijakan kata sandi yang kurang ketat.

Selain itu, perusahaan penyedia layanan TI juga menjadi sasaran karena akses yang mereka miliki dapat membuka jalan menuju jaringan pelanggan yang lebih besar.

Ancaman yang Lebih Besar 

FortiBleed menunjukkan bahwa kredensial bukan lagi sekadar informasi login.

Kredensial yang berhasil dicuri dapat digunakan untuk:

• Mengakses jaringan internal.
• Melakukan pencurian data.
• Menyebarkan malware.
• Menjalankan serangan ransomware.
• Mengambil alih akun penting.
• Mempertahankan akses dalam jangka panjang.

Dalam banyak kasus, pencurian kredensial merupakan langkah awal yang mendahului insiden keamanan yang jauh lebih serius.

Tanda-Tanda yang Perlu Diwaspadai

Beberapa indikator yang dapat menjadi petunjuk adanya aktivitas serupa antara lain:

• Percobaan login berulang dari alamat IP yang tidak dikenal.
• Lonjakan aktivitas autentikasi.
• Akses ke perangkat keamanan dari lokasi yang tidak biasa.
• Aktivitas administratif di luar jam operasional.
• Peningkatan lalu lintas jaringan yang tidak dapat dijelaskan.
• Munculnya akun atau sesi yang tidak dikenal.

Pemantauan terhadap aktivitas autentikasi menjadi salah satu langkah penting dalam mendeteksi ancaman seperti ini.

Tips Keamanan untuk Organisasi

Menghadapi ancaman seperti FortiBleed membutuhkan kombinasi teknologi dan tata kelola keamanan yang baik.

Beberapa langkah yang direkomendasikan antara lain:

1. Gunakan Multi-Factor Authentication (MFA). Lapisan autentikasi tambahan dapat mengurangi risiko penyalahgunaan kredensial yang dicuri.
2. Batasi Akses dari Internet. Hindari mengekspos panel administrasi dan layanan sensitif secara langsung ke internet.
3. Terapkan Kebijakan Kata Sandi yang Kuat. Gunakan kata sandi unik dan hindari penggunaan ulang pada berbagai sistem.
4. Pantau Aktivitas Login. Analisis pola login dapat membantu mendeteksi aktivitas yang tidak biasa.
5. Perbarui Perangkat Secara Berkala. Pastikan perangkat keamanan selalu menggunakan firmware terbaru.
6. Lakukan Audit Akses Secara Berkala. Tinjau akun dan hak akses untuk memastikan tidak ada akses yang tidak diperlukan.
7. Terapkan Prinsip Least Privilege. Berikan hak akses minimum sesuai kebutuhan pengguna.

Pencurian Kredensial Berkembang

FortiBleed menunjukkan bagaimana pencurian kredensial telah berkembang menjadi operasi siber berskala industri. Dengan memanfaatkan pemindaian massal, otomatisasi, dan pengumpulan kredensial secara sistematis, pelaku mampu memperoleh akses ke berbagai organisasi di seluruh dunia.

Kasus ini menjadi pengingat bahwa keamanan tidak hanya bergantung pada perangkat keamanan yang digunakan, tetapi juga pada bagaimana akses, identitas digital, dan kredensial dikelola.

Dalam banyak insiden modern, pencurian kredensial bukanlah akhir dari serangan, melainkan awal dari berbagai ancaman yang jauh lebih besar.

Sumber berita:

WeLiveSecurity