Cyberthreat.id – Perusahaan keamanan siber Sophos mendeteksi adanya peningkatan besar peretas menggunakan protokol Transport Layer Security (TLS) “untuk berkomunikasi lebih aman dari pelacak”.

Protokol tersebut memberi perlindungan bagi peretas untuk berbagi informasi secara pribadi antara situs web dan server perintah dan kontrol (C2), sehingga tak terlihat oleh pelacak malware.

“Tidak mengherankan operator malware telah mengadopsi TLS,” ujar Sophos seperti dikutip dari ZDNet, diakses Jumat (23 April 2021).

Komunikasi malware, menurut Sophos, terbagi dalam tiga kategori utama: mengunduh lebih banyak malware, eksfiltrasi data curian, dan perintah dan kontrol.

Semua jenis komunikasi itu dapat memanfaatkan enkripsi TLS guna menghindari deteksi pelacak malware.

Sophos mengatakan, tahun lalu sebagian malware menggunakan TLS untuk berkomunikasi, tapi jumlah tersebut sekarang naik hampir dua kali lipat. Lonjakan tersebut dipengaruhi oleh peningkatan penggunaan web dan layanan cloud sah yang dilindungi oleh TLS.

Bahkan, ransomware juga menggunakan TLS dalam setahun terakhir, terutama ransomware yang diterapkan secara manual.

“Tapi, sebagian besar apa yang kami deteksi dalam lalu lintas TLS berbahaya berasal dari malware perusak awal, seperti loader, dropper, dan penginstal berbasis dokumen yang menjangkau kembali ke halaman web yang diamankan untuk mengambil paket instalasi mereka,” ujar Sophos.

Salah satu dropper yang disoroti Sophos adalah ransomware LockBit berbasis PowerShell, yang mengambil skrip dari jarak jauh dari spreadsheet Google Docs melalui TLS.[]