FinTechnesia.com | Menurut laporan Digital Footprint Intelligence Kaspersky Asia Pasifik, kebocoran basis data di wilayah tersebut menyumbang 95% dari total jumlah iklan. Pasar kebocoran data Singapura dan Australia sejauh ini adalah yang terbesar ketika melihat jumlah pesanan tertimbang PDB (produk domestik bruto).
Laporan tersebut menyoroti hasil tahun lalu untuk organisasi dan bahkan negara untuk mengawasi kemungkinan ancaman eksternal dan terus mengawasi informasi tentang potensi aktivitas kejahatan dunia maya. Termasuk yang sedang dibahas yaitu di Darknet.
Pemantauan sumber data eksternal dalam layanan Digital Footprint Intelligence Kaspersky, termasuk sumber daya Darknet, memberikan wawasan tentang aktivitas kejahatan dunia maya melalui berbagai tahap siklus hidup serangan. Dalam laporan bagian kedua ini, perusahaan menyajikan hasil analisis Darknet.
Ada dua jenis data utama yang ditemukan saat menganalisis jejak digital organisasi: aktivitas penipuan dan jejak serangan siber. Sementara Kaspersky menemukan banyak tanda penipuan, fokus dalam laporan tetap pada deteksi serangan.
Aktivitas Darknet terkait dengan dampak serangan (iklan tentang penjualan kebocoran data dan data yang disusupi) mendominasi statistik karena tersebar dari waktu ke waktu. Para pelaku kejahatan siber mulai melakukan penjualan, menjual kembali, dan mengemas kembali banyak kebocoran data dari masa lalu.
Tahap 1: Minat membeli akses
Pelaku kejahatan siber yang mencari penawaran akses awal mengetahui bahwa ada pasar besar untuk iklan semacam itu. Organisasi dari Australia, India, Cina daratan dan Pakistan adalah kepentingan musuh (adversaries interest) utama untuk memulai serangan. Negara-negara ini berada di dalam 84% iklan dari kategori persiapan serangan.
Pakistan dan Australia menarik minat yang besar seperti yang terlihat dari jumlah pesanan yang ditimbang dengan PDB mereka.
Melihat ukuran infrastruktur, bisnis, dan industrialisasi – China daratan memiliki minat yang relatif rendah bagi musuh. Hal ini mungkin menunjukkan kendala bahasa dalam ranah para kriminal siber di wilayah Asia Pasifik atau komplikasi dengan akses tingkat jaringan ke organisasi di negara tersebut.
Access buy order adalah permintaan untuk membeli akses ke satu atau daftar organisasi atau industri tertentu di wilayah tertentu.
Namun, pesanan pembelian oleh orang dalam adalah permintaan untuk membeli layanan orang dalam yang dapat menyebabkan kredensial atau kebocoran data, sumber layanan pengumpulan informasi (misalnya, pemusnahan data PII berdasarkan permintaan).
Baca juga: Vaksin Covid-19 Dijual Bebas di Darknet, Harganya US$ 250 Sampai US$ 1.400
Tahap 2: Perintah untuk akses – siap dieksekusi
Temuan yang paling menjanjikan adalah di tahap eksekusi serangan: artefak menyatakan bahwa musuh memiliki kemampuan atau sudah memiliki akses ke jaringan atau layanan organisasi, tetapi belum ada dampak yang ditimbulkan terhadap bisnis. Dalam hal iklan di Darknet, yang menunjukkan serangan yang dilakukan, Australia, India, Cina daratan, dan Filipina mencakup 75% dari yang terdeteksi oleh Kaspersky.
Ini dibagi menjadi tiga jenis:
- Pialang akses awal – Penjualan pesanan untuk organisasi tertentu, atau pesanan massal dengan organisasi yang dikelompokkan berdasarkan industri dan/atau wilayah.
- Aktivitas orang dalam menjual pesanan – Permintaan untuk menjual layanan orang dalam yang dapat menyebabkan kebocoran kredensial, sumber layanan pengumpulan informasi (misalnya, pemusnahan data PII berdasarkan permintaan), atau kebocoran data. Sumbernya biasanya adalah broker orang dalam.
- Log malware – Malware pencuri kredensial (stealers) mengumpulkan kredensial menjadi data yang dapat dijual kembali atau dapat diakses dengan nama pengguna dan sandi akun.
Organisasi Filipina, Pakistan, Singapura, Australia, dan Thailand paling banyak diserang jika ditimbang dengan PDB.
Filipina, India, dan Cina daratan mendominasi pasar layanan orang dalam dengan 82% dari omset pesanan.
Tahap 3: Kebocoran data dan data untuk dijual
Setelah kebocoran data terjadi, penjualan maupun akses gratis ke informasi yang dicuri akan mengikuti. Indikator kompromi dapat berupa kebocoran data serta perintah aktivitas orang dalam – penjualan atau akses gratis ke data internal, termasuk namun tidak terbatas pada basis data, dokumen rahasia, PII, kartu kredit, informasi VIP, data keuangan, dan banyak lagi.
Organisasi dari Australia, Cina daratan, India, dan Singapura mengambil 84% dari semua penjualan kebocoran data yang ditempatkan di Darknet.
Pasar kebocoran data Singapura dan Australia sejauh ini adalah yang terbesar ketika melihat jumlah pesanan yang tertimbang dengan PDB
Operasi kejahatan dunia maya di bawah permukaan web jelas sangat sibuk. Dari persiapan dan eksekusi serangan, hingga dampak kebocoran data.
“Kemudian menjual hingga menjual kembali informasi yang dicuri, sistem berbahaya yang fungsional ini merupakan ancaman serius bagi bisnis dan organisasi di Asia Pasifik,” kata Chris Connell, Managing Director untuk Asia Pasifik di Kaspersky, dalam rilis ke FinTechnesia, pekan lalu.
Menjual data dan akses ke perusahaan sering kali berjalan beriringan. Ini berarti serangan yang berhasil pada organisasi Anda bisa bercabang dua. Informasi rahasia Anda dapat dicuri dan dijual, dan para pelaku kejahatan siber dapat membuka serta menawarkan sistem Anda yang terinfeksi ke kelompok yang lebih berbahaya.
“Serangan ganda membutuhkan pertahanan proaktif yang mencakup respons insiden yang kuat dan kemampuan pemantauan Darknet melalui laporan intelijen ancaman secara real-time dan mendalam,” tambahnya.
Permintaan untuk data pribadi dan perusahaan di pasar gelap jelas menarik minat yang tinggi, dan itu tidak selalu melibatkan serangan yang ditargetkan. Penyerang dapat memperoleh akses ke infrastruktur perusahaan acak untuk menjualnya kepada pemeras atau penjahat dunia maya tingkat lanjut lainnya nanti.
Serangan seperti ini dapat mempengaruhi perusahaan dengan skala apa pun, besar atau kecil, karena akses sistem perusahaan sering kali dipatok harga cukup tinggi dalam forum underground, terutama dibandingkan dengan potensi kerusakan pada bisnis.
Penjual di web gelap paling sering menawarkan akses jarak jauh melalui RDP. Untuk melindungi infrastruktur perusahaan dari serangan melalui akses jarak jauh dan layanan kontrol, pastikan koneksi melalui protokol ini aman dengan:
- menyediakan akses ke layanan (misalnya, RDP) hanya melalui VPN,
- menggunakan sandi yang kuat dan Network Level Authentication (NLA),
- menggunakan otentikasi dua faktor untuk semua layanan,
- pemantauan kebocoran data akses. Pemantauan web gelap tersedia di Kaspersky Threat Intelligence Portal. (jun)
.