Para komentator, termasuk perusahaan keamanan siber terkemuka Palo Alto Networks, sedang menyoroti risiko yang disampaikan oleh kelompok peretas yang sangat gigih: Muddled Libra.
Mengeksploitasi kerentanan
by Megan Breen
Sama seperti usaha bisnis, para kriminal siber juga menjalani transformasi segi digital mereka sendiri: mereka terusmenerus mencari cara baru yang inovatif untuk menyusup ke organisasi-organisasi. Di posisi teratas dalam daftar potensi ancaman terdapat pelanggaran-pelanggaran yang diakibatkan rekayasa sosial, taktik yang digunakan para peretas untuk memperdaya para karyawan, pemasok, atau kontraktor agar mereka mengungkapkan informasi konfidensial, dengan mengeklik tautan (link) berbahaya atau memberi akses ke sistem TI.
Kelompok sangat mengancam saat ini sukses dengan menggunakan taktik rekayasa sosial adalah Muddled Libra, yang juga dikenal sebagai Star Fraud, UNC3944, Scatter Swine, atau Scattered Spider. Selama dua tahun terakhir, para peretas ini sebagian besar menyusup ke organisasi-organisasi lewat meja bantuan TI dan kini diyakini sedang menargetkan penyedia jasa layanan cloud dan aplikasi software as a service (SaaS) untuk mencuri data.
Kelompok tersebut telah dikaitkan dengan banyak serangan siber berprofil tinggi. Salah satu contohnya adalah serangan September 2023 terhadap Resort MGM, di mana Muddled Libra menggunakan serangan kelelahan otentikasi multifaktor (banyaknya permintaan untuk mengonfirmasi identitas) untuk dapat mengakses jaringan. Serangan tersebut mengakibatkan sistem-sistem di antara 30 lebih hotel dan kasino konglomerat di seluruh dunia menjadi luring (offline) selama 10 hari lebih, yang menyebabkan kerugian pendapatan yang substansial. Dalam minggu yang sama, Muddled Libra menyerang Caesars Entertainment, dengan mendapatkan akses ke berbagai bagian prasarana pelanggan dan menyebabkan gangguan yang meluas.
Menurut sebuah Laporan Respons Insiden dari Unit 42 di Palo Alto Networks, Muddled Libra diyakini dibentuk terutama dari para operatif oknum operatif dari Amerika Serikat dan Inggris Raya. Berbeda dengan beberapa kelompok peretas yang lain, anggotanya memiliki keahlian bahasa Inggris yang andal dan strategi pelanggaran yang jelas — termasuk dengan penargetan klien lanjutan (downstream) dari pelanggaran awal.
TAUTAN
(RANTAI PASOKAN) TERLEMAH
“Salah satu masalah teratas yang kami terus menurus sampaikan kepada klien adalah bagaimana mengelola potensi kerentanan di rantai pasokan digital mereka,” kata Gill Collins, kepala siber di Marsh McLennan Pacific.
“Kini semakin sering terjadi ancaman siber yang bersumber dari penyusupan lewat penyedia teknologi pihak ketiga yang mempunyai akses ke sistem atau data klien.”
Collins mengatakan bahwa, dari sudut pandang asuransi, klien yang sedang menggunakan pengalihdayaan operasi bisnis, penyedia jasa layanan cloud, ataupun platform dan aplikasi SaaS mungkin terpapar risiko yang lebih tinggi, karena itulah yang menjadi sasaran Muddled Libra.
“Nasihat kami bagi para bisnis yang akan membuat perjanjian dengan pemasok yang akan mempunyai akses ke semua aset teknologi informasinya yang kritis adalah untuk meluangkan waktu untuk memahami kontrol dan prosedur pengelolaan risiko apa saja yang mereka miliki dalam hal keamanan siber,” katanya.
“Tentukan standar minimum keamanan siber Anda dalam kontrak, juga hak Anda untuk meninjau kembali standar itu secara berkala, sehingga Anda dapat melihat dengan jelas apakah standar tersebut dipatuhi atau tidak.”
“Mereka terlibat demi uang. Uang tebusan yang mereka tuntut sangat besar, sering kali mencapai puluhan jutaan dolar AS. Tentu saja mereka menuntut dibayar dalam mata uang kripto,” demikian dikatakan dalam laporan tersebut.
Inilah yang kita ketahui tentang Muddled Libra, teknik-teknik yang mereka gunakan dan apa yang seharusnya dilakukan para perusahaan asuransi beserta klien mereka untuk melindungi diri.
Kerentanan Zero-day
Perangkat lunak sering kali mengandung kerentanan dari segi keamanan yang dapat dieksploitasi para peretas sebelum para pengembangnya memiliki waktu untuk memperbaiki masalah tersebut. Ini diketahui sebagai serangan ‘zero-day’.
Kelompok seperti Muddled Libra menemukan kerentanan-kerentanan itu dan kemudian berpura-pura sebagai staf TI atau personel meja bantuan TI untuk memperdaya para karyawan agar membagikan kredensial mereka. Atau, mereka meyakinkan pengguna untuk melakukan satu tindakan seperti membuka satu file atau mengunjungi situs web berbahaya. Dengan melakukan demikian, mereka pun mengunduh malware penyerang, yang kemudian menyusup ke file pengguna dan mencuri data rahasia.
“Mereka juga menggunakan phishing, push bombing, dan serangan SIM swap agar mendapat akses yang tak diizinkan ke jaringan,” katanya Faisal Yahya, ahli strategi keamanan siber di Vantage Point Security di Indonesia.
“Taktik-taktik ini menjadi contoh ancaman persisten tingkat lanjut (advanced persistent threat [APT]), di mana suatu kelompok canggih menggunakan berbagai taktik, teknik, dan prosedur — termasuk rekayasa sosial dan eksploitasi zeroday — untuk menyusup ke jaringan dan mencuri data rahasia selama periode waktu yang lama.
“Ini merupakan operasi metodis yang makan waktu. Kekerapan serangan sebenarnya rendah, tetapi dampak dari serangan sangat kuat. Pada intinya, segera setelah kerentanan ditemukan, kelompok APT akan menjual zero-day itu kepada penawar tertinggi.”
PELAJARAN DARI GANGGUAN CROWDSTRIKE
Walaupun terputusnya jaringan TI yang meluas pada tanggal 19 Juli 2024 diakibatkan oleh pembaruan perangkat lunak yang dikeluarkan oleh perusahaan keamanan siber tingkat global CrowdStrike, secara menentang aktivitas jahat, para peretas segera memanfaatkan keadaan itu. Pusat Keamanan Siber Australia (Australian Cyber Security Centre) di bawah Badan Direktorat Sinyal Australia (The Australian Signals Directorate) melaporkan bahwa sejumlah situs web berbahaya dan kode tak resmi lalu dikeluarkan dan mengaku telah berhasil membantu para entitas pulih dari kejadian tersebut.
Demikian pula CrowdStrike Intelligence menerima laporan bahwa para pelaku ancaman sedang melakukan aktivitas berikut ini:
Mengirim email phishing dengan berpura-pura sebagai layanan bantuan dari CrowdStrike ke pelanggan.
Menyamar sebagai staf CrowdStrike lewat panggilan telepon.
Berpura-pura menjadi peneliti independen dengan mengaku memiliki bukti bahwa isu teknis itu terkait dengan serangan siber dan menawarkan pengertian proses remediasi serangan.
Menjual teks yang seolah dapat memulihkan keadaan secara otomatis dari isu pembaruan konten.
Selain memaparkan para pengguna CrowdStrike terhadap para penjahat yang aji mumpung, gangguan tersebut menegaskan bahaya mengandalkan satu-satunya pemasok untuk mendapatkan perangkat lunak. Tom Worthington, dosen honorer School of Computing di Australian National University, memberitahu SBS News bahwa jika seluruh bisnis seseorang tergantung pada kinerja satu produk perangkat lunak tertentu, mereka perlu memastikan adanya alternatif.
“Hal-hal ini akan terjadi sewaktu-waktu,” katanya, “tetapi Anda harus memastikan itu tidak akan melenyapkan semuanya.”
Photography:
iStockphoto and Wikimedia Commons (Smishra1)
Apa saja tanda bahayanya?
Dalam hal keamanan siber, bersikap waspada adalah keharusan, katanya Tom Roberts, manajer bagian respons terhadap ancaman dan insiden di penasihat keamanan siber CERT NZ.
“Sering kali yang terjadi bukan hanya satu hal tertentu saja,” jelasnya. “Anda perlu memastikan Anda memang menyadari tiaptiap hal dan memastikan bahwa saat Anda tidak perlu hanya memperhatikan sesuatu hal tertentu saja, benteng perlindungan masih tahan kuat.”
Roberts mengatakan bahwa strategistrategi klasik menyusupi jaringan yang digunakan oleh para kelompok seperti Muddled Libra termasuk: permintaan meja bantuan TI di luar jam kerja, login dari lokasi atau perangkat yang aneh, diutak-atiknya pencatatan harian, rentetan percobaan otentikasi multifaktor terhadap sasaran tunggal, atau banyaknya kata sandi (password).
Meskipun semakin meningkatnya ancaman yang dipicu oleh Muddled Libra, belum pernah ada publikasi tentang penahanan mereka. Artinya, para organisasi perlu mengambil tindakan proaktif untuk melindungi jaringan mereka, katanya Yahya.
Ada berapa langkah sederhana yang bisa diambil, usulnya. Selain menerapkan kebijakan kata sandi dan otentikasi multifaktor yang kuat, para bisnis seharusnya menjaga agar semua sistem operasi, perangkat lunak dan firmware mereka selalu mutakhir dan mendidik para karyawan tentang taktik phishing
“Para organisasi seharusnya juga menjalankan kontrol aplikasi untuk mengelola dan mengontrol penggunaan perangkat lunak. Pemeriksaan alat aksesjarak jauh secara berkala dapat membantu mengidentifikasi perangkat lunak apa pun yang tidak diizinkan atau pola-pola pemakaian abnormal,” katanya Yahya.
“Efektivitas tindakan ini tergantung pada konfigurasi dan pengelolaan yang tepat. Investasi dalam alat-alat yang memadai dan keahlian juga penting. Semua itu harus diintegrasikan ke dalam status keamanan komprehensif, dengan lapisan perlindungan tambahan seperti deteksi ancaman dan respons terhadap insiden.”
Sentuhan manusia
Gill Collins, kepala siber di Marsh McLennan Pacific, mengatakan bahwa klien yang menganggap keamanan siber dan risiko siber sebagai risiko terhadap keseluruhan bisnis mungkin jauh lebih siap dalam menanggapi ancamanancaman siber ini.
“Tim eksekutif harus menganggap serius pengelolaan risiko siber, dan mereka perlu menggalakkan budaya seperti itu di seluruh bagian organisasi, sehingga risiko siber diakui sebagai risiko bisnis dan sehingga orang-orang lebih cakap dalam menanggapinya secara tepat,” jelasnya.
Mengetahui bahwa pelanggaran mungkin dapat diakibatkan oleh tindakantindakan karyawan juga sangat penting, tambah Roberts.
“Kita perlu mengalihkan fokus dari kerentanan yang semata-mata teknis ke pendekatan yang lebih holistik yang memprioritaskan ancaman rekayasa sosial, karena dalam kebanyakan bisnis — termasuk dalam industri asuransi — tautan terlemah bukan selalu hal perangkat lunak; kadangkadang justru oknum di belakang layar.”
Ini berarti mengintegrasikan pelatihan kesadaran rekayasa sosial dan simulasi phishing ke dalam program pendidikan keamanan untuk karyawan.
“Intinya adalah melatih karyawan Anda,” kata Roberts, “kalau tidak, justru karyawan Anda yang akan melatih para peretas.”
MEGAN BREEN
Jurnalis lepas
“Dengan munculnya risiko keamanan siber baru setiap hari, pihak yang paling lemah sering kali adalah kita sebagai manusia. Artinya, pendekatan teraman adalah mendidik masyarakat tentang hal-hal yang harus diwaspadai.”
INGIN LEBIH? MENGEKLAIM MILIKMU CIP POIN
BACA // Risiko dunia maya dan peran asuransi
Oleh Actuaries Institute
0.25 CIP pts
Bawa aku ke sana
TONTON // Kapasitas dan klaim dunia maya
Oleh Nicole Pallavicini dan Fiona Fong
0.75 CIP pts
Bawa aku ke sana