Security system alert, warning of a cyberattack.

Waktu tunggu serangan menurun, TTP ransomware berkembang, China meningkatkan aktivitas spionase

Sementara kemajuan signifikan sedang dibuat oleh organisasi world dalam kaitannya dengan deteksi dan respons ancaman, musuh terus muncul, berinovasi, dan beradaptasi dengan lingkungan goal dengan beragam serangan siber termasuk taktik, teknik, dan prosedur (TTP) pemerasan dan ransomware baru. Datanya berasal dari M-Traits Mandiant 2022 laporan berdasarkan investigasi aktivitas serangan yang ditargetkan yang dilakukan antara 1 Oktober 2020 dan 31 Desember 2021. Di antara berbagai temuannya adalah wawasan tentang vektor serangan yang lazim, industri yang paling ditargetkan, dan peningkatan aktivitas spionase yang terkait dengan China.

Waktu tinggal intrusi turun, deteksi inner vs. eksternal signifikan

Menurut penelitian, waktu tunggu rata-rata world, yang dihitung sebagai jumlah hari rata-rata penyerang hadir di lingkungan goal sebelum terdeteksi, menurun dari 24 hari pada tahun 2020 menjadi 21 hari pada tahun 2021. Namun, ditemukan bahwa persisnya bagaimana sebuah insiden terdeteksi secara signifikan berdampak pada angka waktu tunggu. Misalnya, median waktu tunggu world untuk insiden yang diidentifikasi secara eksternal turun dari 73 menjadi 28 hari, tetapi insiden yang diidentifikasi secara inner mengalami perpanjangan waktu tunggu median world dari 12 menjadi 18 hari.

Entitas eksternal mendeteksi dan memberi tahu organisasi 62% lebih cepat pada tahun 2021 dibandingkan dengan tahun 2020, sesuatu yang Mandiant berutang pada peningkatan kemampuan deteksi eksternal dan program komunikasi dan penjangkauan yang lebih mapan. Menariknya, sementara waktu tunggu rata-rata untuk deteksi inner lebih lambat dibandingkan tahun 2020, deteksi inner masih 36% lebih cepat daripada notifikasi eksternal, kata laporan itu. Di wilayah EMEA dan APAC, sebagian besar intrusi pada tahun 2021 diidentifikasi oleh pihak ketiga eksternal, masing-masing 62% dan 76%, sementara di Amerika, sebagian besar intrusi terdeteksi secara inner oleh organisasi itu sendiri (60%).

Adapun distribusi waktu tinggal, Mandiant menemukan bahwa hal-hal yang disetujui di kedua ujung spektrum; 55% investigasi memiliki waktu tinggal 30 hari atau kurang dengan 67% ditemukan dalam satu minggu atau kurang. Lonjakan waktu tunggu yang diamati antara 90 dan 300 hari dalam 20% investigasi dapat mengindikasikan intrusi tidak terdeteksi hingga tindakan yang lebih berdampak terjadi setelah fase infeksi dan pengintaian siklus hidup serangan, atau perbedaan antara kemampuan deteksi organisasi dan jenis serangan yang mereka hadapi, Mandiant dikatakan. Namun, lebih sedikit intrusi yang tidak terdeteksi untuk jangka waktu yang lama, dengan hanya 8% yang memiliki waktu tinggal lebih dari satu tahun, tambahnya.

Kelompok ancaman baru muncul, penyerang ransomware mengembangkan TTP

Mandiant melacak lebih dari 1.100 kelompok ancaman baru selama periode pelaporan, lulus dua kelompok ancaman bernama FIN12 dan FIN13. FIN12 adalah kelompok ancaman bermotivasi finansial di balik serangan ransomware Ryuk yang produktif setidaknya sejak Oktober 2018, sementara FIN13 adalah kelompok ancaman bermotivasi finansial yang menargetkan organisasi yang berbasis di Meksiko, kata laporan itu.

Mandiant juga mulai melacak 733 keluarga malware baru, di mana 86% tidak tersedia untuk umum, melanjutkan tren ketersediaan keluarga malware baru yang dibatasi atau kemungkinan dikembangkan secara pribadi, menurut laporan tersebut. Dari keluarga malware yang baru dilacak, lima kategori teratas adalah pintu belakang (31%), pengunduh (13%), dropper (13%), ransomware (7%), peluncur (5%) dan pencuri kredensial (5%). Ini tetap konsisten dengan tahun-tahun sebelumnya, kata Mandiant. Umumnya, Beacon, Sunburst, Metasploit, SystemBC, Lockbit, dan Ryuk.B adalah keluarga malware yang paling sering terlihat selama intrusi selama periode pelaporan.

Mengenai ransomware, Mandiant mengamati penyerang menggunakan TTP baru untuk menyebarkan ransomware dengan cepat dan efisien di seluruh lingkungan bisnis, mencatat bahwa penggunaan infrastruktur virtualisasi yang meluas di lingkungan perusahaan (seperti vCenter Server) telah menjadikannya goal utama bagi penyerang ransomware. Sepanjang tahun 2021, platform VMWare vSphere dan ESXi menjadi sasaran berbagai pelaku ancaman, termasuk yang terkait dengan Hive, Conti, Blackcat, dan DarkSide.

Penyerang terdeteksi menyalakan ESXi Shells dan mengaktifkan akses langsung melalui SSH (TCP/22) ke server ESXi untuk memastikan bahwa akses host ESXi tetap tersedia, membuat akun (lokal) baru untuk digunakan di server ESXi, dan mengubah kata sandi akun root untuk memastikan organisasi tidak dapat dengan mudah mendapatkan kembali kendali atas infrastruktur mereka. Setelah akses ke server ESXi diperoleh, pelaku ancaman menggunakan akses SSH untuk mengunggah enkripsi (biner) mereka dan skrip shell apa pun yang diperlukan, kata Mandiant. Mereka menggunakan skrip shell untuk menemukan di mana mesin digital berada di penyimpanan knowledge ESXi, secara paksa menghentikan mesin digital yang sedang berjalan, secara opsional menghapus snapshot dan kemudian beralih melalui penyimpanan knowledge untuk mengenkripsi semua disk mesin digital dan file konfigurasi.

China menemukan kembali operasi siber, meningkatkan aktivitas spionase

Bersamaan dengan kelompok ancaman baru dan yang muncul serta inovasi dalam TTP ransomware, Mandiant juga menemukan perubahan signifikan dalam pendekatan China terhadap operasi siber untuk menyelaraskan dengan penerapan 14 negara.th Rencana Lima Tahun pada tahun 2021. Laporan tersebut memperingatkan bahwa prioritas tingkat nasional yang termasuk dalam rencana tersebut menandakan peningkatan yang akan datang dalam aktor-aktor perhubungan China yang melakukan upaya intrusi terhadap kekayaan intelektual atau masalah ekonomi penting lainnya yang strategis, serta produk industri pertahanan dan lainnya teknologi penggunaan ganda selama beberapa tahun ke depan. Mandiant mencatat beberapa set aktor spionase cyber China menggunakan keluarga malware yang sama di seluruh periode pelaporan, menunjukkan kemungkinan pengembang “Grand Quartermaster”.

Organisasi pemerintah adalah sektor yang paling ditargetkan di semua industri secara world, dengan tujuh dari 36 kelompok APT dan UNC China yang aktif mengumpulkan informasi sensitif dari entitas publik, menurut laporan tersebut. Mandiant menyarankan bahwa beberapa aktivitas spionase dunia maya China yang teridentifikasi pada tahun 2021 terkait dengan APT yang ada atau kelompok UNC lainnya.

Mengeksploitasi vektor serangan paling umum, bisnis dan layanan keuangan sektor yang paling ditargetkan

Eksploitasi adalah vektor infeksi awal yang paling sering diidentifikasi pada tahun 2021, dengan 37% serangan dimulai dengan eksploitasi, meningkat 8% dibandingkan tahun 2020. Penyusupan rantai pasokan adalah vektor infeksi awal kedua yang paling umum, terhitung 17% intrusi pada tahun 2021 dibandingkan menjadi kurang dari 1% pada tahun 2020. Sebagai catatan, 86% intrusi rantai pasokan pada tahun 2021 terkait dengan pelanggaran SolarWinds dan Sunburst.

Menariknya, penelitian menemukan bahwa penyusupan yang dilakukan melalui phishing pada tahun 2021 jauh lebih sedikit, yang terdiri dari hanya 11% dibandingkan dengan 23% pada tahun 2020. Mandiant mengatakan ini mencerminkan peningkatan kemampuan organisasi untuk mendeteksi dan memblokir electronic mail phishing serta pelatihan keamanan yang ditingkatkan bagi karyawan untuk mengenali dan melaporkan upaya phishing.

Penyusupan bermotivasi finansial terus menjadi andalan pada tahun 2021, dengan penyerang mencari keuntungan moneter dalam 30% intrusi melalui metode seperti pemerasan, tebusan, pencurian kartu pembayaran, dan switch gelap. Aktor juga memprioritaskan pencurian knowledge sebagai tujuan misi utama, dengan Mandiant mengidentifikasi pencurian knowledge dalam 29% penyusupan.

Adapun industri yang paling ditargetkan oleh musuh, layanan bisnis/profesional dan keuangan menduduki puncak daftar di seluruh dunia, masing-masing menyumbang 14% serangan. Perawatan kesehatan (11%), ritel dan perhotelan (10%), serta teknologi dan pemerintahan (keduanya 9%) melengkapi lima besar.

Organisasi harus menanggapi ancaman dunia maya dengan ketahanan

“Laporan M-Traits tahun ini mengungkapkan wawasan baru tentang bagaimana aktor ancaman berkembang dan menggunakan teknik baru untuk mendapatkan akses ke lingkungan goal,” kata Jurgen Kutscher, wakil presiden eksekutif, penyampaian layanan, di Mandiant dalam siaran pers. “Mengingat penggunaan eksploitasi yang terus meningkat sebagai vektor kompromi awal, organisasi perlu mempertahankan fokus pada eksekusi pada dasar-dasar keamanan – seperti manajemen aset, risiko, dan patch.”

Pemerasan multi-segi dan ransomware terus menimbulkan tantangan besar bagi organisasi dari semua ukuran dan di semua industri, dengan peningkatan spesifik dalam serangan yang menargetkan infrastruktur virtualisasi, tambahnya. “Kunci untuk membangun ketahanan terletak pada persiapan. Mengembangkan rencana kesiapsiagaan yang kuat dan proses pemulihan yang terdokumentasi dengan baik dan teruji dapat membantu organisasi berhasil menavigasi serangan dan dengan cepat kembali ke operasi bisnis regular.”

Hak Cipta © 2022 IDG Communications, Inc.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts