Sophos: Serangan Siber di 2017 Makin Canggih dan Berbahaya

Tahun 2016 mencatatkan makin tingginya jumlah dan jenis serangan siber, mulai dari serangan DDoS (Distributed Denial of Service Attacks) tingkat tinggi dengan menggunakan kamera keamanan Internet yang dibajak sampai dengan dugaan peretasan terhadap pejabat partai dalam Pilpres di AS. Tahun ini juga mencatatkan peningkatan yang tinggi dalam peretasan data, yang dialami perusahaan besar dan kecil, serta adanya kerugian yang signifikan akibat pencurian data pribadi pelanggan.

Joergen Jakobsen (Wakil Presiden Regional untuk Asia-Pasifik dan Jepang/APJ Sophos) memprediksi tren kejahatan siber untuk tahun 2017. Tren ini antara lain:

* Serangan DDoS IoT yang merusak akan meningkat. Pada tahun 2016, Mirai menunjukkan potensi kerusakan yang besar akibat serangan DDoS. Hal ini dipicu oleh penggunaan perangkat yang tidak aman dalam IoT (Internet of Things). Serangan Mirai hanya mengeksploitasi sejumlah kecil perangkat dan titik lemah dengan menggunakan teknik menebak password sederhana.

Namun, penjahat cyber akan dengan mudah memperluas jangkauan mereka karena mungkin perangkat IoT masih menggunakan basis kode yang sudah usang pada sistem operasi yang tidak terawat serta aplikasi-aplikasi yang sudah terkenal tidak aman. Eksploi

tasi IoT, tebakan kata kunci yang lebih canggih, dan makin banyaknya perangkat IoT yang mudah disusupi, digunakan untuk melakukan DDoS atau mungkin sebagai sasaran antara untuk menyerang perangkat lain dalam jaringan korbannya.

* Pergeseran dari eksploitasi menjadi serangan sosial yang lebih terarah. Penjahat dunia maya akan kian canggih dalam mengeksploitasi faktor utama keteledoran – yaitu manusia. Serangan yang lebih canggih dan meyakinkan, ditargetkan untuk membujuk pengguna dengan sukarela mengorbankan diri mereka sendiri.

Menurut Jakobsen, sudah banyak kita melihat surel (e-mail) yang ditujukan kepada penerima menggunakan nama penerima dan menuduh mereka memiliki hutang yang harus dibayar kepada pengirim surel (sebagai pihak yang diberi kuasa menagih). Faktor kejutan, kekaguman, atau meminjam kuasa dengan berpura-pura menjadi penegak hukum adalah taktik yang umum dan efektif.

Jakobsen menambahkan bahwa surel ini akan mengarahkan mereka ke sebuah tautan berbahaya yang membuat pengguna panik agar mengekliknya, dan membuka jalan untuk menyerang. Serangan phishing seperti itu sudah sering terjadi.

Menurut Jakobsen, infrastruktur keuangan sangat berisiko terhadap serangan. Penggunaan phishing yang terarah dan “whaling” akan terus meningkat. Serangan ini menggunakan informasi rinci tentang eksekutif perusahaan dengan mengelabui karyawan untuk membayar penipu atau mengirim uang melalui rekening yang sengaja dibuat.

* Munculnya lebih banyak serangan terhadap infrastruktur keuangan penting. Contohnya seperti serangan yang menyasar lembaga keuangan dalam jaringan SWIFT. Serangan ini telah menelan korban Bank Sentral Bangladesh dengan kerugian sebesar US$81 juta pada bulan Februari 2016.

SWIFT baru-baru ini juga mengakui bahwa telah terjadi serangan lainnya dan memperkirakan akan muncul lebih banyak lagi. Hal ini terungkap dari bocoran surel kepada bank pengguna jasa mereka. SOPHOS menyatakan bahwa ancaman ini sangat gigih, adaptif dan canggih dan yelah hadir untuk tetap menyerang.

* Eksploitasi infrastruktur Internet yang tidak aman. Semua pengguna Internet mengandalkan protokol dasar yang sudah lawas. Jumlahnya yang banyak membuatnya hampir tidak mungkin untuk melakukan perubahan atau diganti. Protokol-protokol kuno yang telah lama menjadi tulang punggung Internet dan jaringan bisnis ternyata sangat rapuh.

Misalnya, serangan terhadap BGP (Border Gateway Protocol) berpotensi mengganggu, membajak, atau menonaktifkan sebagian besar dari Internet. Dan serangan DDoS terhadap “Dyn” pada bulan Oktober (dipicu oleh segudang perangkat IoT), telah melumpuhkan DNS penyedia layanan dan akses ke sebagian dari Internet. Kejadian tersebut adalah salah satu serangan terbesar yang pernah terjadi dan mereka yang mengklaim bertanggungjawab mengatakan bahwa itu hanya sebatas sebuah percobaan saja.

ISP dan perusahaan besar dapat mengambil beberapa langkah untuk menanggapi, tapi ini mungkin gagal untuk mencegah kerusakan serius. Hal ini terjadi jika individu atau negara memilih untuk mengeksploitasi kelemahan keamanan terdalam Internet.

* Peningkatan kompleksitas serangan. Serangan akan makin menyatukan beberapa unsur teknis dan sosial, dan mencerminkan kehati-hatian serta penyelidikan panjang terhadap jaringan organisasi korban. Penyerang akan melumpuhkan beberapa server dan workstation jauh sebelum mereka mulai mencuri data atau bertindak agresif.

Jokebsen menyatakan bahwa dikelola secara ketat oleh para ahli, serangan ini bersifat strategis, tidak taktis, dan dapat menyebabkan jauh lebih banyak kerusakan. Ini sama sekali berbeda dengan serangan malware terprogram dan otomatis yang sebelumya kita kenal – sabar dan menghindar dari deteksi.

* Akan ada lebih banyak serangan menggunakan bahasa dan tool yang digunakan admin. Menurutnya, kita akan melihat lebih banyak eksploitasi berdasarkan PowerShell, perkakas Microsoft untuk mengotomatiskan tugas-tugas administrator. Sebagai bahasa pemrograman, PowerShell akan menghindari serangan balik yang berfokus pada file executable.

Jakobsen juga akan melihat serangan lainnya menggunakan pengujian penetrasi dan tools administrator yang mungkin sudah ada dalam jaringan, tidak perlu disusupi, dan mungkin tidak dicurigai. Tools yang powerful juga memerlukan pengaturan yang sama kuatnya.

* Ransomware akan berkembang. Ini menurut Jakobsen karena pengguna mulai mengenali risiko serangan ransomware melalui surel sehingga penjahat dunia maya mulai mengeksplorasi jenis serangan lainnya. Beberapa penjahat akan bereksperimen dengan malware yang dapat menjangkiti ulang di kemudian hari, lama setelah uang tebusan dibayar.

Sementara yang lain juga mulai menggunakan built-in tools dan jenis malware yang tidak dieksekusi sama sekali (no executable) untuk menghindari deteksi oleh sistem proteksi keamanan endpoint yang berfokus pada file executable. Contoh terbaru, mereka menawarkan untuk mendekripsi file setelah korban berbagi ransomware dengan dua teman lainnya, dan mereka dibayar untuk mendekripsi file mereka.

Penulis ransomware juga mulai menggunakan teknik selain enkripsi, misalnya dengan menghapus atau merusak file header. Dan terakhir, dengan banyaknya ransomware “tua” yang masih bergentayangan di jaringan Internet, pengguna dapat menjadi korban serangan yang tidak dapat “disembuhkan” karena lokasi pembayarannya tidak ada lagi.

* Merebaknya serangan terhadap perangkat IoT pribadi. Pengguna perangkat IoT rumahan mungkin tidak menyadari atau bahkan tidak peduli jika perangkat monitor bayinya dibajak untuk menyerang situs orang lain. Tapi sekali penyerang “menguasai” perangkat di jaringan rumah, mereka dapat melumpuhkan perangkat lain, seperti laptop yang berisi data pribadi penting. Jakobsen memprediksi akan melihat lebih banyak lagi serangan yang menggunakan kamera dan mikrofon untuk memata-matai rumah tangga. Penjahat siber selalu menemukan cara untuk mendapatkan keuntungan.

* Pertumbuhan malvertising dan korupsi ekosistem iklan online. Malvertising, yang menyebar malware melalui jaringan iklan dan halaman web online, telah ada selama bertahun-tahun. Tapi pada tahun 2016, menurut Jakobsen, kita melihat lebih banyak serangan semacam ini lagi. Serangan ini menggarisbawahi masalah yang lebih besar di seluruh ekosistem iklan, seperti penipuan klik, yang menghasilkan klik berbayar yang tidak sesuai dengan minat pelanggan sesungguhnya.

Malvertising sebenarnya telah menghasilkan penipuan klik, melumpuhkan pengguna dan pada waktu yang sama mencuri dari pengiklan.

Kelemahan enkripsi. Karena enkripsi menjadi sangat umum, hal ini menjadi jauh lebih sulit untuk produk keamanan untuk memeriksa lalu lintas, sehingga lebih mudah bagi penjahat untuk menyelinap tanpa terdeteksi. Tidak mengherankan, penjahat cyber menggunakan enkripsi untuk menciptakan cara baru yang kreatif. Produk-produk keamanan harus mengintegrasikan jaringan dan klien kemampuan dengan erat, untuk mengenali dengan cepat sebuah peristiwa keamanan setelah kode didekripsi pada endpoint.

* Meningkatnya fokus pada eksploitasi sistem virtual dan komputasi awan. Serangan terhadap perangkat keras (misalnya rowhammer) meningkatkan kemungkinan eksploitasi baru yang berbahaya terhadap sistem komputasi awan virtual. Penyerang mungkin menyalahgunakan host atau guest lain yang berjalan pada host yang digunakan secara bersama, menyerang privilege model, dan dipastikan akan mengakses data milik orang lain.

Dan, karena Docker dan eco-system seluruh kontainer (atau “serverless”) menjadi lebih populer, penyerang akan kian berusaha untuk menemukan dan mengeksploitasi kerentanan dalam tren dalam komputasi yang relatif baru ini. Jakobsen menyatakan bahwa pihaknya melihat banyak upaya aktif untuk mengoperasikan serangan tersebut.

*Serangan teknis terhadap negara dan masyarakat. Serangan berbasis teknologi telah menjadi makin politis. Masyarakat menghadapi risiko yang kian besar dari disinformasi (seperti berita palsu) dan lumpuhnya sistem pemilihan umum. Misalnya, para peneliti telah menunjukkan berbagai serangan yang memungkinkan seorang pemilih lokal untuk berbuat curang  dengan memilih berulang kali tanpa terdeteksi. Bahkan jika negara tidak pernah terlibat dalam serangan terhadap lawan politik mereka, persepsi mengenai serangan ini dimungkinkan sudah dapat menjadi senjata yang ampuh.