Cyberthreat.id- Peneliti Trend Micro membuat honeypot, semacam jebakan untuk mendeteksi ancaman  siber yang dilancarkan oleh para pelaku serangan siber.

Honeypot yang dirancang oleh para peneliti tersebut, adalah merancang sebuah pabrik yang dibuat seolah-olah pabrik tersebut adalah pabrik benaran.

Dalam upaya untuk membuat semuanya lebih realistis, para peneliti menciptakan perusahaan palsu yang mengklaim sebagai butik prototipe industri kecil yang bekerja untuk pelanggan khusus.

Mereka mengembangkan situs web untuk itu, dan mengatur beberapa nomor telepon yang ketika dipanggil akan memutar rekaman yang memerintahkan penelepon untuk meninggalkan pesan.

Untuk menjadikan honeypot target yang lebih menarik, para ahli juga sengaja membiarkan beberapa port terbuka, termasuk untuk beberapa layanan VNC yang dapat diakses tanpa kata sandi, PLC, dan Ethernet / IP.

Dikutip dari SecurityWeek, Selasa, (21 Januari 2020), Honeypot tersebut mulai online pada Mei 2019. Peneliti Trend Micro memantaunya selama tujuh bulan.

“Setelah honeypot online dan dikonfigurasi dengan benar, kami melihat sejumlah besar upaya untuk menyalahgunakan sistem dan sumber daya mereka untuk kegiatan penipuan, seperti menguangkan mil maskapai penerbangan untuk kartu hadiah dan membeli smartphone dengan meningkatkan akun pelanggan seluler,” tulis peneliti Trend Micro.

Tak hanya itu, para peretas juga  memasang penambang cryptocurrency, dan ada juga ransomware pengenkripsi file yang sedang diinstal.

Serangan ransomware melibatkan Crysis dan Phobos malwar. Para peretas juga mencoba untuk menyebarkan ransomware palsu yang hanya mengganti nama file untuk membuatnya tampak seolah-olah mereka dienkripsi, tetapi tanpa benar-benar mengenkripsi mereka.

Dalam beberapa kasus, para penyerang juga menutup aplikasi yang berjalan pada perangkat yang dikompromikan, mematikan perangkat, atau mengeluarkan pengguna saat ini.

Menariknya, salah satu aktor ancaman juga berusaha menghentikan operasional pabrik, dan kemudian menutup jendela aplikasi.

"Dalam kebanyakan kasus, penyerang akan menghentikan proses segera setelah mereka melihat itu memulai sesuatu," jelas Stephen Hilt, Peneliti Senior Ancaman di Trend Micro.

 “Selama salah satu dari tiga serangan, penyerang membiarkan sistem berjalan selama berjam-jam dan kami akhirnya menghentikannya dengan bertindak seperti perusahaan yang telah menyadari apa yang terjadi dan mengatur ulang semua nilai. Sejak itu, kami belum melihat aktivitas lebih lanjut dari orang ini,” tambah Hilt.

Namun, dalam kasus ini, Hilt melanjutkan, mereka tidak menemukan alamat IP sumber yang dapat analisis dan  dihubungkan dengan kelompok ancaman yang diketahui.

Sementara, Greg Young, Wakil Presiden Cybersecurity for Trend Micro mengungkapkan, saat ini, terlalu sering diskusi tentang ancaman dunia maya terhadap sistem kontrol industri, tetapi hanya terbatas pada serangan tingkat negara yang sangat canggih yang dirancang untuk menyabot proses-proses utama.

“Karena itu, pemilik pabrik dan pabrik industri yang lebih kecil tidak boleh berasumsi bahwa para penjahat akan meninggalkan mereka sendirian. Kurangnya perlindungan dasar dapat membuka pintu untuk serangan ransomware atau serangan cryptojacking yang relatif langsung dan dapat memiliki konsekuensi serius bagi di tingkat bawah,” jelas Young.[]