Cyberthreat.id – Penelitian baru-baru ini menunjukkan gambaran tren di kalangan para penjahat siber, yaitu jual beli akses jaringan yang diretas.

"Penjualan akses jaringan telah berkembang dari penawaran khusus bawah tanah sepanjang 2017, justru menjadi hal utama dari aktivitas kriminal bawah tanah pada 2020," kata Thomas Willkan dan Paul Mansfield, analis senior tim peneliti CTI Reconnaissance Accenture—perusahaan solusi teknologi asal Irlandia, Senin (13 Oktober 2020), seperti dikutip dari ThreatPost, portal berita keamanan siber, diakses Jumat (15 Oktober).

Menurut peneliti, penjualan akses jaringan itu biasanya bermula dari serangan awal yang dilakukan penjual, tentu saja juga peretas. Setelah berhasil mengintrusi jaringan dan mendapatkan celah yang memungkinkan untuk tidak terdeteksi, mereka menawarkan akses itu ke kelompok ancaman lain.

“Penetapan harga berdasarkan ukuran dan pendapatan organisasi yang disusupi,” menurut peneliti.

Ditawarkan di forum bawah tanah, penjual biasanya menjelaskan informasi seputar organisasi yang diserang (perbankan, ritel, atau lainnya), jenis akses yang dijual (VPN, Citrix, atau protokol desktop jarak jauh/RDP), jumlah mesin/komputer di jaringan, dan negara tempat korban beroperasi, serta lain-lain.

Pada September lalu, peneliti melacak lebih dari 25 penjual akses jaringan yang diretas. Penjual ini beroperasi di forum sama dengan aktor yang terkait dengan geng ransomware Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi, dan lain-lain.

“Meski sulit untuk membuktikan bahwa akses jaringan yang diiklankan itu terkait dengan serangan ransomware tertentu, dari analisis aktivitas pelaku ancaman, kami menilai dengan keyakinan tinggi bahwa beberapa akses dibeli oleh grup ransomware dan afiliasinya” peneliti menjelaskan.

Peneliti juga mencatat bahwa koneksi RDP yang diretas menjadi vektor serangan paling umum, tapi penjahat siber juga menawarkan vektor lain, seperti perangkat Citrix dan Pulse Secure VPN yang diretas.

“Kami melihat penjual akses jaringan memanfaatkan alat kerja jarak jauh karena lebih banyak tenaga kerja yang bekerja dari rumah sebagai akibat dari pandemi Covid-19,” kata peneliti.

Tren lain adalah penjual akses jaringan mulai menggunakan eksploitasi zero-day (kerentanan yang belum ditambal) dan menjual akses jaringan itu sendiri, bukan menjual eksploitasi zero-day itu sendiri.

Salah satu aktor ancaman bernama Frankknox, misalnya, memulai dengan mengiklankan zero-day yang menargetkan server email populer seharga US$ 250.000.

Namun, kelompok tersebut justru menghentikan penjualan dan mulai mengeksploitasi zero-day itu sendiri, dan kemudian menawarkan akses jaringan perusahaan ke 36 perusahaan sebagai gantinya. Akses jaringan ini telah dipasarkan dengan harga antara US$ 2.000 hingga US$ 20.000. Kelompok ancaman ini juga mengklaim telah menjual akses ke setidaknya 11 organisasi.[]