Mengapa Penjahat Cyber ​​Menang

Pakar Singkat Sandi Alex Cresswell memimpin divisi operasional GCHQ dan bertugas di Kantor Kabinet, mengarahkan tim analis (Organisasi Intelijen Gabungan) yang memberikan pengarahan harian dan penilaian strategis Perdana Menteri Inggris untuk NSC.

PERSPEKTIF AHLI – Pada 17 Februari 2021, DOJ dan FBI akhirnya mengajukan tuntutan terhadap tiga warga Korea Utara dari Lazarus, kelompok yang didukung negara Korea Utara yang meluncurkan serangan Wannacry tahun 2017. Ini adalah pengingat seberapa jauh serangan siber dan defensif – telah datang sejak serangan ransomware melanda dunia korporat, melumpuhkan perusahaan dan rumah sakit.

Acara Wannacry menunjukkan kepada para pemimpin bisnis bahwa mereka dapat menjadi kerusakan tambahan dalam baku tembak dunia maya negara bagian. Ketika malware menyebar ke seluruh dunia, hampir pasti menyebabkan nyawa mati melalui perawatan kesehatan yang tertunda dan itu pasti menimbulkan kerugian miliaran dolar karena gangguan bisnis, menginfeksi lebih dari 200.000 sistem komputer di seluruh dunia. Tetapi kerusakan langsung yang ditimbulkan hanya sebagian kecil dari kerugian berikutnya dari kelompok peretas kriminal yang meluncurkan serangan kucing tiruan yang terinspirasi oleh Wannacry, selama 5 tahun ke depan.

Saat ini, kelompok peretas kriminal itu canggih, dan Wannacry terlihat seperti alat yang tumpul. Di dunia saat ini, hampir 20 kelompok kriminal menggunakan dunia maya untuk menimbulkan kerugian komersial yang parah pada bisnis sektor swasta AS setiap bulan. Sebagian besar anggotanya beroperasi dari Rusia, Belarusia, dan Ukraina. Dan bersama-sama, mereka membentuk industri ransomware dan pemerasan dunia maya yang sangat menguntungkan.

Ini adalah komunitas yang saling bergantung di mana rantai pasokan dan operator bekerja dalam silo khusus. Perancang kumpulan intrusi membuat eksploitasi malware untuk dijual ke peretas lain. Perantara akses mengamankan jembatan ke dalam sistem TI perusahaan korban. Situs web lelang menjual titik akses tersebut dan alat intrusi untuk mengeksploitasinya. Negosiator menghadapi korban dengan ransomware dan pemerasan dunia maya. Dapat dikatakan bahwa sangat sedikit peserta spesialis di industri ini yang bersedia mengubah jalur karier mereka. Mereka telah mengambil risiko untuk memperoleh keahlian mereka, telah mendapatkan pengakuan dari rekan-rekan mereka, telah mengalami sensasi menjatuhkan korban perusahaan besar, dan telah mengantongi sejumlah uang yang tidak dapat ditawarkan oleh pekerjaan lain di lokasi mereka.

Tetapi aliran permainan tidak semuanya mengarah ke para penjahat, setidaknya tidak di AS. Metrik industri keamanan siber 2020 menunjukkan dengan jelas bahwa, untuk perusahaan AS dengan pendapatan di atas $ 50 juta per tahun, insiden dan tingkat keparahan serangan ransomware dan pemerasan siber tidak berubah. Bahkan di beberapa sektor industri justru turun. Q4 2020 melihat penurunan aktivitas secara keseluruhan. Para komentator menguraikannya menjadi sejumlah faktor.

Yang pertama, tidak ada keraguan bahwa perusahaan besar AS sekarang membangun pagar perimeter teknis yang lebih baik, lebih dipantau secara profesional. Pada saat yang sama, hyper-scaler yang menyediakan sebagian besar platform berbasis cloud perusahaan berinvestasi jauh lebih kuat dalam pemantauan ancaman. Di antara mereka, Microsoft, AWS, Apple, dan Google mempekerjakan lebih dari 20.000 personel di bidang keamanan digital. Mereka tahu bahwa kelemahan dalam pertahanan platform cloud mereka dapat menyebabkan hilangnya kepercayaan dan pendarahan klien yang sangat parah, jadi mereka memastikan bahwa sangat sulit bagi penjahat untuk melanggar layanan berbasis cloud dan tetap tidak terdeteksi begitu masuk. Dan mereka merekrut talenta, termasuk mantan talenta pemerintah, yang mereka butuhkan untuk mencapai ini. Faktor kunci lain dalam penurunan insiden adalah penghapusan terkoordinasi dari infrastruktur malware oleh badan-badan dunia maya nasional. Trickbot, alat malware yang sangat banyak digunakan dijual kepada penyerang oleh pengembang kumpulan intrusi kriminal, sangat terganggu oleh apa yang tampak seperti beberapa organisasi yang bekerja bersama menjelang pemilihan umum AS November 2020. Terakhir, beberapa komentator melihat pendorong politik di balik penurunan serangan dunia maya di AS pada kuartal terakhir tahun 2020. Mereka menilai bahwa Kremlin, yang dalam bahasa Rusia disebut sebagai “atap” (perlindungan) bagi penjahat dunia maya pada mereka. wilayah, telah mencegah serangan baru terhadap target AS, menghitung bahwa sekarang bukan waktunya untuk menentang pemerintahan Biden yang akan datang.

Kemudian, dalam beberapa bulan terakhir, saat tren umum dalam pelanggaran dunia maya berubah menjadi positif, dua peristiwa besar mengubah perhitungan. Pada akhir November 2020, (Sunburst – Solar Winds) dan lagi pada Februari 2021, (Hafnium – Microsoft Exchange), memaksa perusahaan-perusahaan AS untuk bangun dengan penemuan dua serangan dunia maya dari tim aktor negara, satu Rusia dan satu China. Pada kenyataannya, meskipun dampak keamanan nasional dari kedua peristiwa dunia maya ini cukup signifikan, dampak komersial langsung pada kenyataannya cukup terbatas.

Kedua kampanye menyentuh lebih dari 60.000 perusahaan di seluruh AS, memaksa C-Suites untuk fokus pada potensi ancaman gangguan bisnis. Namun, meskipun hal itu merupakan seruan untuk seluruh perusahaan Amerika dan berdampak pada perusahaan yang perangkat lunaknya digunakan sebagai vektor (Solar Winds, Microsoft), kerugian finansial garis bawah bagi sebagian besar perusahaan AS yang menjadi korban relatif rendah. . Ini mungkin sebagian karena lembaga pemerintah dan pemain komersial AS yang terlibat secara terpusat, dengan jelas dikomunikasikan bahwa mereka bertekad untuk menutup pihak mana pun yang mencoba mengeksploitasi pelanggaran ini. CISA dan USIC bergerak cepat untuk menghubungkan serangan tersebut dan memberikan panduan perbaikan. FireEye, Microsoft, dan lainnya melakukan pekerjaan yang hebat dalam menambal kerentanan dan mengurangi ancaman.

Jadi mengapa perusahaan swasta masih peduli dengan gangguan dunia maya yang disponsori negara ketika dampaknya sangat terbatas?

Berikut adalah beberapa tren masa depan yang lebih mengkhawatirkan yang harus diwaspadai.

Pertama, kita harus mengharapkan penjahat dunia maya meniru teknik canggih yang ditunjukkan oleh tim negara dalam kampanye mereka yang baru-baru ini ditemukan. Seiring waktu, seperti yang terjadi dengan Wannacry, penjahat akan menggunakan kembali versi teknik intrusi yang digunakan aktor negara. Berharap mereka untuk semakin fokus pada titik perhubungan dalam lanskap digital seperti Penyedia Layanan Terkelola (MSP), dan untuk lebih memanfaatkan serangan rantai pasokan. Dan berharap penjahat dunia maya yang lebih canggih akan lebih bertekad dalam menargetkan manusia sebagai mata rantai terlemah di perimeter perusahaan. Mereka akan menjadi lebih baik dalam menyesuaikan email phishing untuk menipu pembuat keputusan perusahaan tertentu, dan, jika hadiahnya cukup besar, mereka akan melakukan pendekatan langsung dari manusia ke manusia kepada staf perusahaan.

Minggu ini, seorang warga negara Rusia mengaku bersalah di pengadilan AS karena melakukan perjalanan ke AS dan menawarkan suap $ 1 juta kepada karyawan Tesla untuk mengaktifkan pemasangan malware di jaringan internal pabrik Tesla di Reno.

Seperti yang saya katakan di awal artikel ini, peretas kriminal di Rusia, Ukraina, Belarusia tidak mungkin memilih perubahan karier bahkan jika ketinggian pagar perimeter perusahaan meningkat. Mereka hanya akan beradaptasi dengan teknik baru dan beralih ke target dan pasar baru yang lebih rentan. Patut dicatat bahwa insiden dan tingkat keparahan serangan ransomware dan pemerasan siber di benua Eropa meningkat tajam selama K4 2020 dan K1 2021. Perusahaan-perusahaan Eropa memiliki pertahanan siber yang kurang kuat daripada di AS, dan risiko politik untuk peretas Rusia dan Tiongkok berkurang . Pada tahun 2021, lonjakan serangan di Eropa untuk menggantikan hilangnya pendapatan penjahat dunia maya di AS sepertinya merupakan taruhan yang adil.

Baca lebih banyak wawasan, analisis, dan perspektif keamanan nasional yang digerakkan oleh pakar di Cipher Brief