Published On: Wed, Aug 10th, 2016

Cisco Memprediksi Kehadiran Ransomware Generasi Terbaru: Taktik Baru Memaksimalkan Profit

Menutup Kesempatan bagi Penyerang adalah Prioritas Utama; Cisco Membantu Industri untuk Mengurangi Waktu Pendeteksian Menjadi 13 Jam

 cisco

Jakarta, 10 Agustus 2016 – Laporan Tengah Tahun Tren Cybersecurity 2016 atau Midyear Security Report (MCR) dari Cisco menemukan bahwa organisasi-organisasi tidak siap dalam menghadapi serangan ransomware yang semakin canggih. Infrastruktur yang lemah, rendahnya network hygiene , dan tingkat deteksi yang lambat memberikan banyak waktu dan perlindungan bagi lawan untuk beroperasi. Berdasarkan temuan dalam riset tersebut, usaha untuk mendesak ruang operasional penyerang merupakan tantangan terbesar yang dihadapi bisnis dan mengancam fondasi utama yang dibutuhkan dalam transformasi digital. Temuan-temuan kunci lain dalam riset ini adalah penyerang yang melebarkan fokus mereka pada serangan server-side, metode serangan yang semakin berkembang, dan peningkatan penggunaan enskripsi untuk menutupi aktivitas.

 

Hingga kini, tahun 2016, Ransomware masih menjadi malware paling menguntungkan dalam sejarah. Cisco memprediksi tren ini akan berlanjut, bahkan ransomware akan semakin destruktif dan dapat menyebar dengan sendirinya, menahan seluruh jaringan, dan membuat perusahaan-perusahaan tersandera. Serangan modular baru ransomware akan dapat mengubah taktik secara cepat untuk memaksimalkan efisiensi. Sebagai contoh, serangan ransomware masa depan akan dapat menghindari deteksi dengan membatasi penggunaan CPU dan menghindar dari aksi command-and-control. Serangan ransomware baru ini akan menyebar lebih cepat dan mereplikasi diri dalam organisasi sebelum menjalankan aktivitas ransom.

 

Visibilitas antar jaringan dan endpoint masih menjadi tantangan utama. Secara rata-rata, organisasi-organisasi membutuhkan waktu 200 hari untuk mengidentifikasi ancaman baru. Sementara itu, Cisco terus berusaha menekan waktu deteksi atau time to detection (TTD) hingga mencapai 13 jam pada akhir April 2016 untuk mendeteksi serangan yang tidak diketahui dalam 6 bulan sebelumnya. Hasil ini turun dari 17,5 jam pada akhir periode Oktober 2015. Waktu yang lebih cepat untuk mendeteksi sangat penting untuk menekan ruang operasional penyerang dan mengurangi kerusakan akibat intrusi. Gambaran ini didapat dari telemetri keamanan opt-in yang dikumpulkan produk-produk keamanan Cisco yang diaplikasikan di seluruh dunia.

 

Dengan semakin banyaknya penyerang yang melakukan inovasi, organisasi-organisasi terus berusaha menjaga keamanan perangkat dan sistem mereka. Sistem yang tidak dilindungi akan memberikan kesempatan kepada penyerang untuk mendapat akses dengan mudah, tidak terdeteksi, serta memaksimalkan kerusakan dan keuntungan. Laporan Tengah Tahun Tren Cybersecurity 2016 dari Cisco menunjukkan bahwa tantangan ini bertahan di skala global. Sementara organisasi-organisasi dalam industri kritikal seperti kesehatan mengalami peningkatan serangan secara signifikan dalam beberapa bulan terakhir, temuan riset ini mengindikasikan seluruh pasar secara vertikal dan global menjadi sasaran. Klub dan organisasi, non-governmental organization (NGO), dan bisnis elektronik, semuanya mengalami peningkatan serangan di setengah tahun pertama 2016. Di tingkat global, urusan geopolik termasuk kompleksitas peraturan dan kebijakan cybersecurity yang kontradiktif menjadi celah untuk operasi. Kebutuhan untuk mengontrol dan mengakses data menjadi terbatas dan bertentangan dengan perdagangan internasional di lanskap ancaman yang semakin canggih.

 

Penyerang Beroperasi Tanpa Batas

Bagi penyerang, lebih banyak waktu untuk mengoperasikan serangan yang tidak terdeteksi berarti menghasilkan profit lebih banyak. Di setengah tahun pertama 2016, Cisco melaporkan profit yang dihasilkan penyerang melonjak tajam karena beberapa faktor di bawah ini:

 

Fokus yang Meluas: Penyerang memperluas fokus mereka dari penyerangan client-side ke server-side, menghindari deteksi dan memaksimalkan potensi kerusakan dan keuntungan.

  • Kerentanan Adobe Flash terus menjadi target utama bagi malvertising dan exploit kit. Pada exploit kit Nuclear yang popular, Flash menyumbang 80 persen percobaan eksploitasi yang sukses.
  • Cisco juga melihat tren baru pada serangan ransomware yang mengekploitasi kerentanan server – secara spesifik dalam server JBoss – dimana 10 persen server JBoss yang terkoneksi internet di seluruh dunia telah tercemar. Banyak kerentanan JBoss yang digunakan untuk berkompromi dengan sistem ini telah terindentifikasi lima tahun yang lalu, yang berarti patching dasar dan pembaruan dari vendor bisa mencegah serangan-serangan semacam itu dengan mudah.

 

Mengembangkan Metode Serangan: Selama setengah tahun pertama 2016, penyerang terus mengembangkan metode serangan mereka untuk mengkapitalisasi kelemahan akan visibilitas sebuah organisasi.

  • Eksploitasi Windows Binary berkembang dan menjadi metode serangan website paling populer dalam enam bulan terakhir. Metode ini memberikan sebuah pijakan yang kuat pada infrastruktur jaringan dan membuat serangan ini menjadi lebih sulit diidentifikasi dan dihilangkan.
  • Selama periode tersebut, social engineering melalui penipuan di Facebook turun menjadi peringkat dua dari peringkat satu di 2015.

 

Menutupi Trek: Berkontribusi dalam mengganggu visibilitas, penyerang terus meningkatkan penggunaan enskripsi sebagai metode menutupi berbagai komponen operasi mereka.

  • Cisco melihat adanya peningkatan penggunaan cryptocurrency, Transport Layer Security dan Tor, yang memungkinkan komunikasi anonym antar web.
  • Secara signifikan, malware terenskripsi HTTPS yang digunakan dalam serangan malvertising meningkat 300 persen sejak Desember 2015 sampai Maret 2016. Malware terenskripsi selanjutnya memungkinkan penyerang untuk menyembunyikan aktivitas web mereka dan memperpanjang waktu untuk operasi.

 

Organisasi Berjuang untuk Mengurangi Kerentanan, Menutup Celah

Menghadapi serangan yang semakin canggih dengan sumber daya yang terbatas dan infrastruktur yang tua, organisasi-organisasi berjuang untuk sama cepatnya dengan penyerang. Data menyatakan bahwa organisasi-organisasi cenderung berusaha memenuhi standard network hygiene, seperti patching, menyadari semakin pentingnya teknologi ini untuk operasi bisnis. Sebagai contoh:

  • Dalam hal browser, Google Chrome, yang menyediakan pembaruan secara otomatis, memiliki 75-80 persen pengguna yang menggunakan browser versi terbaru, dan satu versi di belakang.
  • Beralih dari browser ke software, Java melihat migrasi yang lambat dengan sepertiga sistem yang diteliti masih menggunakan Java versi SE 6 yang sudah dihapus oleh Oracle (versi terbarunya adalah SE 10).
  • Pada Microsoft Office 2013, versi 15x, 10 persen dari populasi versi yang banyak digunakan, menggunakan paket layanan versi terbaru.

 

Sebagai tambahan, Cisco menemukan bahwa kebanyakan infrastruktur mereka tidak mendukung atau dioperasikan dalam keadaan rentan. Ini merupakan masalah sistem dari para vendor dan endpoint. Secara spesifik, peneliti Cisco memeriksa 103,121 perangkat Cisco yang terhubung dengan internet dan menemukan bahwa:

  • Masing-masing perangkat rata-rata memiliki 28 kerentanan.
  • Perangkat secara aktif bekerja dalam keadaaan rentan rata-rata selama 5,64 tahun.
  • Lebih dari 9 persen perangkat memiliki kerentanan yang berumur lebih dari 10 tahun.

 

Sebagai perbandingan, Cisco juga meneliti di berbagai infrastruktur software di 3 juta instalasi. Software yang banyak diserang adalah Apache dan OpenSSH dengan rata-rata 16 faktor kerentanan yang berjalan selama rata-rata 5,05 tahun.

 

Pembaruan browser merupakan cara yang paling mudah, sementara aplikasi enterprise dan infrastruktur server-side sulit melakukan update dan menyebabkan masalah dalam bisnis yang berkelanjutan. Intinya, semakin penting sebuah aplikasi untuk bisnis, semakin aplikasi tersebut tidak diupdate secara berkala, maka akan menciptakan celah dan kesempatan bagi penyerang.

 

Cisco Membagikan Beberapa Langkah untuk Melindungi Bisnis Dalam Beroperasi

Periset Talos Cisco mengamati bahwa organisasi yang mengambil beberapa langkah sederhana namun signifikan ini dapat meningkatkan sistem keamanan dalam operasi mereka, seperti langkah- langkah berikut:

  • Tingkatkan network hygiene, dengan memonitor jaringan, mengimplementasikan patch dan melakukan upgrade tepat waktu, melakukan segmentasi jaringan, mengimplementasikan pertahanan, termasuk keamanan email dan website, Nect Generation Firewall dan Next Generation IPS.
  • Pertahanan terintegrasi, dengan memanfaatkan pendekatan arsitektural untuk keamanan versus mengimplementasikan solusi untuk niche-product.
  • Mengukur waktu pendeteksian, menggunakan solusi yang memakan waktu paling cepat untuk mendeteksi ancaman dan melakukan upaya mitigasi secepatnya. Membuat metrik kebijakan keamanan organisasi untuk masa mendatang.
  • Melindungi pengguna dimanapun mereka berada dan dimanapun mereka bekerja, tidak hanya pada sistem yang berinteraksi dengan mereka dan kapan mereka bekerja di jaringan perusahaan.
  • Back-up data penting, dan secara rutin menguji efektivitas mereka sambil memastikan kalau back-up tidak terkompromisasi atau diserang.

 

Kutipan Pendukung

“Dengan semakin banyaknya perusahaan yang mengkapitalisasi model bisnis transformasi digital, keamanan menjadi fondasi utama. Penyerang semakin tidak terdeteksi dan memperpanjang waktu operasi mereka. Untuk menutup kesempatan penyerang, pelangggan disarankan meningkatkan visibilitas di jaringan mereka dan meningkatkan aktivitas, seperti patching dan menghentikan pemakaian infrastruktur yang sudah tua yang tidak mempunyai kapabilitas keamanan yang canggih.”

 

“Karena penyerang terus memonetisasi serangan mereka dan menciptakan model bisnis yang sangat menguntungkan, Cisco bekerja dengan pelanggan kami untuk membantu mereka untuk dapat sejajar, bahkan melebihi kemampuan penyerang mereka dalam hal level kecanggihan, visibilitas, dan kontrol.”

– Marty Roesch, Vice President and Chief Architect, Security Business Group, Cisco