Cyberthreat.id – Operasi penjahat cyber laksana “pembunuh bayaran” yang menawarkan jasa profesional di pasar dunia bawah tanah. Sehingga si penyerang tak selalu perlu menembus jaringan korbannya untuk menanam malware.

“Berbagai tingkat akses ditawarkan untuk harga mulai $ 1.000 dan meningkat tergantung pada seberapa dalam peretas telah menyusup,” tulis BleepComputer, Senin (20 Jnuari 2020).

Semua jenis akses dijual

Entitas dari berbagai sektor telah dikompromikan, dengan penyedia layanan terkelola (MSP) menjadi yang paling menarik karena mereka dapat bertindak sebagai batu loncatan untuk sejumlah besar korban.

Jim Walter dari SentinelOne mengatakan bahwa melanggar MSP dapat membantu penyerang menjaga profil rendah di jaringan dan mendapatkan kegigihan.

“Saluran komunikasi antara MSP dan klien mereka sering terjadi di jaringan yang tepercaya dan pribadi, dengan batas-batas di antara mereka berubah menjadi sedikit wilayah abu-abu. Lalu lintas mungkin tetap 'internal' ke infrastruktur MSP, karena itu tidak rentan terhadap kontrol tradisional yang ditemukan di perimeter (Internet menghadapi IDS, Filter Konten Email, dan sejenisnya)."

MSP dengan 100 pelanggan dianggap berukuran sedang oleh pengganggu jaringan yang ingin menjual kredensial untuk akun admin, yang dapat digunakan untuk mendapatkan nama pengguna dan kata sandi yang digunakan klien untuk masuk ke platform MSP.

"Harganya $ 700," tulis posting di pasar bawah tanahsebagaimana dikutip BleepingComputer,danmenambahkan bahwa iklan hadir di pasar lain dan menetapkan tenggat waktu 48 jam untuk transaksi.

Ini bukan kasus yang terisolasi. Di pos lain sejak 6 Januari, seseorang menjual akses ke target yang tidak disebutkan namanya yang digambarkan sebagai "perusahaan pajak besar di AS" di Fortune 500.

Peretas meminta $ 3.500 untuk memberikan kunci ke jaringan internal, dari mana penyerang dapat mengakses lebih dari 500.000 klien perusahaan melalui koneksi jarak jauh. Mendapatkan akses ke pelanggan individu juga dalam penawaran, sebesar $ 1.000.

Walter mengatakan bahwa pengumuman yang dilihatnya mengiklankan akses ke berbagai entitas di sektor publik dan swasta, termasuk MSP Spanyol, produsen elektronik, dan perusahaan utilitas berbasis di A.S.

Kredensial milik eksekutif, akses ke server surat, ke portal manajemen konten yang digunakan oleh rumah sakit, firma hukum, dan sekolah, atau hak istimewa tingkat root yang membuka semua pintu semuanya dijual.

Pengumuman lain yang dilihat oleh peneliti menjual akses langsung ke lebih dari 20 sistem point-of-sale (PoS) seharga $ 2.000 per terminal. Peretas juga menyombongkan diri bahwa mereka dapat merusak jaringan perusahaan ketika PoS terhubung dengannya.

Perdagangan ini terjadi di forum cybercriminal yang tidak bersembunyi di bayang-bayang web gelap. Beberapa dari mereka tertutup untuk tampilan publik tetapi login dapat dibeli dengan sedikit kesulitan.

Jenis visibilitas ini memudahkan penyerang yang kurang terampil untuk menjatuhkan malware mereka saat mereka membayar ke jaringan korban alih-alih membayangkan metode untuk masuk ke lingkungan dan mendapatkan pijakan.

Saran pertahanan

Walter mencantumkan beberapa langkah sederhana dan umum yang dapat diambil perusahaan untuk mengurangi risiko penyusup berakar di jaringan mereka atau bergerak ke samping. Ini termasuk yang berikut:

• mengaktifkan otentikasi multi-faktor
• pemisahan jaringan
• firewall dan sistem deteksi intrusi (IDS) yang ditempatkan secara strategis
• mengawasi lalu lintas ke dan dari layanan berbagi dan kolaborasi publik
• logging yang tepat dan peninjauan peringatan (logging tambahan jika memungkinkan merupakan nilai tambah)
• batasi penggunaan alat permusuhan yang diketahui (mis. mimikatz, wce, PStools, VNC, net, TeamViewer, WMIC, sdelete, lazagne)

Untuk MSP, peneliti memiliki saran yang lebih spesifik:

• putar sertifikat otentikasi VPN secara teratur
• menggunakan VPN khusus untuk dikomunikasikan ke organisasi klien
• membatasi lalu lintas ke dan dari MSP (VPNd) ke host atau layanan tertentu yang diperlukan
• membatasi hak akun MSP untuk tugas-tugas penting pada sistem klien dan menghapus hak administratif yang tidak perlu (mis., Administrator Domain atau Administrator Perusahaan)
• Akun MSP harus terhubung hanya ke sistem yang mereka butuhkan untuk mengakses langsung untuk tugas manajemen
• akun layanan khusus digunakan untuk akses MSP; pertimbangkan untuk menonaktifkan login interaktif untuk akun tersebut
• memungkinkan akses ke akun ta berdasarkan jadwal tertentu dan memantau semua upaya