review1st.com – Group-IB, salah satu perusahaan keamanan siber global terdepan, mempersembahkan penelitiannya tentang ancaman siber global, Hi-Tech Crime Trends 2021/2022 pada konferensi penilaian ancaman dan intelijen tahunan CyberCrimeCon’21.
Dalam laporan yang mengeksplorasi perkembangan kejahatan siber pada semester kedua 2020 hingga semester pertama 2021, para peneliti Group-IB menganalisis adanya peningkatan kompleksitas pada ancaman global, yang secara khusus menyoroti aliansi yang berkembang di antara para pelaku ancaman siber.
Ancaman-ancaman tersebut biasanya terbentuk dari kemitraan antara para operator ransomware dan initial access brokers, yang dapat mengakses model Ransomware-as-a-Service.
Para scammer pun biasanya tergabung dalam sebuah klan untuk mengotomatisasi dan membuat operasi penipuan mereka menjadi lebih cepat.
Selain itu, kejahatan siber individual, seperti pencurian nomor kartu kredit (carding), mengalami penurunan untuk pertama kalinya setelah sekian lama.
Selama 10 tahun berturut-turut, laporan Hi-Tech Crime Trends menganalisis berbagai aspek dari operasional dan serangan kejahatan siber serta memberikan perkiraan ruang lingkup ancaman untuk berbagai sektor ekonomi.
Laporan tersebut untuk pertama kalinya dibagi menjadi lima volume besar dengan fokus yang berbeda – ransomware, penjualan akses jaringan perusahaan, perang siber, ancaman sektor keuangan, pencurian data pribadi (phishing) dan penipuan (scam).
Prediksi dan rekomendasi yang diuraikan dalam Hi-TechCrime Trends 2020-2021 berupaya untuk mencegah kerugian dan gangguan operasional bagi perusahaan di seluruh dunia.
Penjualan akses jaringan perusahaan: perusahaan di APAC menjadi incaran
Pada semestar kedua 2020 hingga semester pertama 2021, modus penjualan akses ke jaringan perusahaan terus berkembang mencapai $7.165.387 secara global, meningkat sebesar 16% dibandingkan periode yang sama tahun sebelumnya.
Perlu dicatat bahwa beberapa pelaku biasanya tidak menentukan biaya spesifik, sehingga menciptakan hambatan tertentu untuk mengevaluasi ukuran sebenarnya dari modus ini.
Di wilayah APAC saja, total biaya akses perusahaan-perusahaan di kawasan tersebut yang menyediakan akses jaringan ilegal mencapai $3.307.210 selama periode evaluasi.
Angka ini meningkat hampir 7 kali lipat dari tahun ke tahun. Sebagian besar akses penjualan adalah milik organisasi-organisasi asal Australia (36%), India (23%), dan China (14%).
Australia dan India bahkan telah masuk ke dalam daftar lima besar negara global yang memiliki perusahaan dengan akses jaringan yang sering ditemukan secara ilegal, yang masing-masing memiliki pangsa pasar sebesar 4% dan 3%.
Kedua negara tersebut diungguli oleh Inggris (4%), Prancis (5%), dan Amerika Serikat (30%).
Sebagian besar perusahaan yang terkena dampak bergerak di bidang produksi, pendidikan, jasa keuangan, kesehatan, dan perdagangan.
Selama periode evaluasi, jumlah industri yang dieksploitasi oleh initial access brokers melonjak hingga 75% dari 20 menjadi 35, yang menunjukkan bahwa para penjahat siber baru mulai menyadari berbagai korban yang potensial.
Hal ini juga tercermin dalam fakta bahwa jumlah negara yang terpengaruh oleh penjualan akses jaringan perusahaan naik hingga 62% dari 42 menjadi 68.
Di wilayah APAC saja, jumlah negara yang diserang tumbuh sebesar 50% dari 10 menjadi 15, termasuk Singapura, Indonesia, Malaysia, dan Korea Selatan.
Jumlah initial access brokers juga terus bertambah, dengan total 262 penjual akses pada semester kedua 2020 hingga semester pertama 2021.
Setidaknya, 229 dari mereka adalah pemula di pasar. Sebagai perbandingan, selama periode evaluasi sebelumnya, jumlah penjual yang aktif mencapai 86 orang.
Jika tahun sebelumnya terdapat 362 penjualan, maka jumlah total akses yang ditawarkan oleh para penjual tersebut kini sudah mencapai 1.099.
Penjahat siber yang membeli akses ke jaringan perusahaan seringkali memonetisasinya dengan bantuan program afiliasi ransomware-as-a-service.
Analis Group-IB memperkirakan meningkatnya permintaan ransomware telah berkontribusi pada munculnya initial access brokers dan peningkatan umum dalam jumlah penawaran akses.
Corporansom: Instrumen untuk memeras korban dan Ransomware-as-a-Service (RaaS)
Selama periode evaluasi, analis Group-IB mencatat 21 program Ransomware-as-a-Service (RaaS) baru, yang meningkat 19% dibandingkan periode sebelumnya.
Selama periode evaluasi, penjahat siber telah menguasai penggunaan Data Leak Sites (DLS), sebuah web resource yang digunakan untuk menambah tekanan kepada korban agar mau membayar uang tebusan dengan mengancam akan membocorkan data pribadi mereka ke publik.
Namun, dalam praktiknya, walaupun uang tebusan tersebut telah dibayar, data pribadi korban tetap dapat dilihat oleh publik.
Jika pada semester kedua 2019 hingga semester pertama 2021 mencapai 13 kasus, maka jumlah DLS resources baru kini meningkat lebih dari dua kali lipat selama periode peninjauan dan mencapai 28 kasus.
Secara total, data pada 2.371 perusahaan dirilis di situs web DLS dari waktu ke waktu. Peningkatan 935% ini merupakan yang tertinggi dibandingkan dengan periode evaluasi sebelumnya, di mana hanya terdapat 229 data korban yang dipublikasikan.
Perlu dicatat bahwa dalam tiga kuartal pertama tahun ini, operator ransomware merilis 47% lebih banyak data tentang perusahaan yang diserang dibandingkankan tahun 2020.
Jumlah korban serangan ransomware sebenarnya lebih banyak, dengan pertimbangan bahwa penjahat siber hanya merilis sekitar 10% dari data korban mereka.
Jumlah perusahaan yang memilih untuk membayar uang tebusan diperkirakan mencapai 30%.
Menurut data dari DLS resources, dalam hal jumlah perusahaan yang diserang pada tahun 2020 dan 2021, wilayah APAC berada di peringkat ketiga, diungguli oleh Eropa dan Amerika Utara.
Pangsa Asia-Pasifik tiga kuartal pertama tahun ini dalam distribusi regional tumbuh dari 6,1% menjadi 9,1%. Tahun ini, mayoritas korban serangan ransomware yang diketahui publik di wilayah APAC berasal dari Australia (41), India (24), Jepang (16), Taiwan (16), dan Indonesia (12).
Secara global, mayoritas perusahaan yang ditargetkan oleh operator ransomware pada tahun ini berasal dari Amerika Serikat (49,2%), Kanada (5,6%), dan Prancis (5,2%), sementara mayoritas organisasi yang terkena dampak berasal dari manufaktur (9,6%), real estate (9,5%) dan transportasi (8,2%).
Setelah menganalisis ransomware DLS pada tahun 2021, analis Group-IB menyimpulkan bahwa Conti menjadi kelompok ransomware paling agresif, yang membuat informasi publik tentang 361 korban (16,5% dari semua perusahaan korban yang datanya dirilis di DLS), diikuti oleh Lockbit (251), Avaddon (164), REvil (155), dan Pysa (118). Lima besar pada tahun lalu meliputi Maze (259), Egregor (204), Conti (173), REvil (141), dan Pysa (123).
Penurunan pencurian data kartu kredit (carding)
Selama periode evaluasi, pasar carding turun hingga 26% dari $ 1,9 miliar menjadi $ 1,4 miliar dibandingkan dengan periode sebelumnya.
Penurunan seperti itu dijelaskan oleh jumlah dump yang lebih rendah (data yang tersimpan di strip magnetik kartu bank) yang ditawarkan untuk dijual: jumlah penawaran menyusut sebesar 17% dari 70 juta catatan menjadi 58 juta mengingat penutupan toko kartu terbesar yakni Joker’s Stash.
Sementara itu, harga rata-rata bank card dump turun dari $ 21,88 menjadi $ 13,84, sementara harga maksimum melonjak dari $ 500 menjadi $ 750.
Tren sebaliknya tercatat di pasar untuk penjualan data teks kartu bank (nomor kartu bank, tanggal kadaluarsa, nama pemilik, alamat, CVV): total jumlah melonjak sebesar 36% dari 28 juta catatan menjadi 38 juta, yang antara lain dapat dijelaskan oleh meningkatnya jumlah web phishing resource yang meniru merek terkenal di tengah pandemi.
Harga rata-rata untuk data teks naik dari $ 12,78 menjadi $ 15,2, sementara yang maksimum meroket 7 kali lipat dari $ 150 menjadi $ 1.000 yang belum pernah terjadi sebelumnya.
Di wilayah APAC secara khusus, pasar carding turun dari $ 328,7 juta menjadi $ 291,5 juta pada periode evaluasi. Hal ini disertai dengan kenaikan harga rata-rata data kartu dari $ 14,23 menjadi $ 20,26 dan penurunan dramatis dalam harga dump dari $ 75,17 menjadi $ 39,57.
Phishing dan partner mitra scam
Kelompok penjahat siber lain yang secara aktif menjalin kemitraan selama periode evaluasi adalah scammers. Dalam beberapa tahun terakhir, program afiliasi phishing dan scam menjadi sangat populer.
Penelitian yang dilakukan oleh Group-IB menunjukkan bahwa terdapat lebih dari 70 program afiliasi phishing dan scam. Peserta bertujuan untuk mencuri uang, serta data pribadi dan pembayaran.
Dalam periode pelaporan, aktor ancaman yang mengambil bagian dalam skema tersebut mengantongi setidaknya $ 10 juta secara total. Jumlah rata-rata yang dicuri oleh anggota program afiliasi scam diperkirakan mencapai $ 83.
Program afiliasi melibatkan jumlah peserta yang besar, memiliki hierarki yang ketat, dan menggunakan infrastruktur teknis yang kompleks untuk mengotomatisasi kegiatan penipuan.
Hal ini membantu skala kampanye phishing dan menyesuaikannya untuk bank, layanan email populer, pasar, perusahaan logistik, dan organisasi lainnya.
Program afiliasi phishing dan scam, awalnya berfokus pada Rusia dan negara-negara CIS lainnya, baru-baru ini memulai migrasi online mereka ke Eropa, Amerika, Asia, dan Timur Tengah. Hal ini dicontohkan oleh Classiscam.
Group-IB mengetahui setidaknya 71 merek dari 36 negara, yang ditiru oleh anggota program afiliasi.
