Sementara tren yang dipublikasikan dalam serangan ransomware telah bertentangan — dengan beberapa perusahaan melacak lebih banyak insiden dan lebih sedikit lainnya — serangan kompromi email bisnis (BEC) terus terbukti berhasil terhadap organisasi.
Kasus BEC, sebagai bagian dari semua kasus respons insiden, meningkat lebih dari dua kali lipat pada kuartal kedua tahun ini, menjadi 34% dari 17% pada kuartal pertama tahun 2022. Itu menurut laporan Arctic Wolf “Wawasan Tanggapan Insiden 1H 2022” laporan, yang diterbitkan pada 29 September, yang menemukan bahwa industri tertentu – termasuk keuangan, asuransi, layanan bisnis, dan firma hukum, serta lembaga pemerintah – mengalami lebih dari dua kali lipat jumlah kasus sebelumnya, kata perusahaan itu.
Secara keseluruhan, jumlah serangan BEC yang ditemui per kotak email telah tumbuh sebesar 84% pada paruh pertama tahun 2022, menurut data dari perusahaan keamanan siber Abnormal Security.
Sementara itu, sejauh tahun ini, laporan ancaman yang dirilis oleh organisasi telah mengungkapkan tren yang kontradiktif untuk ransomware. Serigala Arktik dan Pusat Sumber Daya Pencurian Identitas (ITRC) telah melihat penurunan jumlah serangan ransomware yang berhasil, sementara pelanggan bisnis tampaknya lebih jarang menghadapi ransomware, menurut perusahaan keamanan Trellix. Pada saat yang sama, perusahaan keamanan jaringan WatchGuard memiliki pendapat sebaliknya, dengan mencatat bahwa deteksi serangan ransomware meroket 80% pada kuartal pertama 2022, dibandingkan dengan semua tahun lalu.
Kilauan BEC Mengungguli Ransomware
Keadaan lanskap BEC yang melonjak tidak mengejutkan, kata Daniel Thanos, wakil presiden Arctic Wolf Labs, karena serangan BEC menawarkan keuntungan bagi penjahat dunia maya dibandingkan ransomware. Secara khusus, keuntungan BEC tidak bergantung pada nilai mata uang kripto, dan serangan seringkali lebih berhasil lolos dari pemberitahuan saat sedang berlangsung.
“Penelitian kami menunjukkan bahwa aktor ancaman sayangnya sangat oportunistik,” katanya.
Karena alasan itu, BEC — yang menggunakan rekayasa sosial dan sistem internal untuk mencuri dana dari bisnis — terus menjadi sumber pendapatan yang lebih kuat bagi penjahat dunia maya. Pada tahun 2021, serangan BEC menyumbang 35%, atau $2.4 miliar, dari potensi kerugian $6.9 miliar dilacak oleh Pusat Pengaduan Kejahatan Internet (IC3) FBI, sementara ransomware tetap menjadi bagian kecil (0.7%) dari total.
Dalam hal pendapatan dari serangan individu pada bisnis, analisis Serigala Arktik mencatat bahwa tebusan rata-rata untuk kuartal pertama adalah sekitar $ 450,000, tetapi tim peneliti tidak memberikan kerugian rata-rata untuk korban serangan BEC.
Menggeser Taktik Cyber yang Bermotivasi Finansial
Keamanan Abnormal ditemukan dalam laporan ancamannya awal tahun ini bahwa sebagian besar dari semua insiden kejahatan dunia maya (81%) melibatkan kerentanan eksternal dalam beberapa produk yang sangat ditargetkan — yaitu, server Exchange Microsoft dan perangkat lunak desktop virtual Horizon VMware — serta layanan jarak jauh yang tidak dikonfigurasi dengan baik, seperti Microsoft Protokol Desktop Jarak Jauh (RDP).
Versi Microsoft Exchange yang tidak ditambal khususnya rentan terhadap eksploitasi ProxyShell (dan sekarang Bug ProxyNotShell), yang menggunakan tiga kerentanan untuk memberikan akses administratif kepada penyerang ke sistem Exchange. Sementara Microsoft menambal masalah lebih dari setahun yang lalu, perusahaan tidak mempublikasikan kerentanan sampai beberapa bulan kemudian.
VMware Horizon adalah desktop virtual dan produk aplikasi yang populer rentan terhadap serangan Log4Shell yang mengeksploitasi kerentanan Log4j 2.0 yang terkenal itu.
Kedua jalan memicu kampanye BEC khusus, para peneliti telah mencatat.
Selain itu, banyak geng cyber menggunakan data atau kredensial yang dicuri dari bisnis selama serangan ransomware untuk bahan bakar kampanye BEC.
“Ketika organisasi dan karyawan menjadi lebih sadar akan satu taktik, pelaku ancaman akan menyesuaikan strategi mereka dalam upaya untuk tetap selangkah lebih maju dari platform keamanan email dan pelatihan kesadaran keamanan,” Keamanan Abnormal berkata awal tahun ini. “Perubahan yang dicatat dalam penelitian ini hanyalah beberapa indikator bahwa pergeseran itu sudah terjadi, dan organisasi harus berharap untuk melihat lebih banyak di masa depan.”
Rekayasa sosial juga populer, seperti biasa. Sementara serangan eksternal pada kerentanan dan kesalahan konfigurasi adalah cara paling umum bagi penyerang untuk mendapatkan akses ke sistem, pengguna manusia dan kredensial mereka terus menjadi target populer dalam serangan BEC, kata Thanos dari Arctic Wolf.
“Kasus BEC seringkali merupakan hasil dari rekayasa sosial, dibandingkan dengan kasus ransomware, yang sering disebabkan oleh eksploitasi kerentanan yang belum ditambal atau alat akses jarak jauh,” katanya. “Dalam pengalaman kami, pelaku ancaman lebih cenderung menyerang perusahaan melalui eksploitasi jarak jauh daripada menipu manusia.
Bagaimana Menghindari Kompromi BEC
Untuk menghindari menjadi korban, langkah-langkah keamanan dasar bisa sangat membantu, menurut Arctic Wolf. Faktanya, banyak perusahaan yang menjadi korban serangan BEC tidak memiliki kontrol keamanan yang berpotensi dapat mencegah kerusakan, perusahaan menyatakan dalam analisisnya.
Misalnya, penelitian menemukan bahwa 80% dari perusahaan yang mengalami insiden BEC tidak memiliki otentikasi multifaktor. Selain itu, kontrol lain, seperti segmentasi jaringan dan pelatihan kesadaran keamanan, dapat membantu mencegah serangan BEC menjadi mahal, bahkan setelah penyerang berhasil mengkompromikan sistem eksternal.
“Perusahaan harus memperkuat pertahanan karyawan mereka melalui pelatihan keamanan,” kata Thanos, “tetapi mereka juga perlu mengatasi kerentanan yang menjadi fokus aktor ancaman.”
