Bagikan:

JAKARTA - Tahun yang lalu, perusahaan keamanan Amerika Serikat, Palo Alto Networks, mulai mendengar bahwa sejumlah perusahaan  telah disusupi oleh cara yang tidak biasa oleh para peretas komputer.

Para peretas berbahasa Inggris asli akan menghubungi pusat bantuan teknologi informasi perusahaan target, menyamar sebagai karyawan, dan mencari rincian login dengan berpura-pura kehilangan akses mereka.

Mereka memiliki semua informasi karyawan yang dibutuhkan untuk terdengar meyakinkan. Setelah mereka mendapatkan akses, mereka akan dengan cepat menemukan jalan masuk ke repositori paling sensitif perusahaan untuk mencuri data tersebut demi tebusan.

"Serangan ransomware bukanlah hal baru, tetapi grup ini sangat terampil dalam teknik sosial dan melewati otentikasi multi-faktor," kata Wendi Whitmore, wakil presiden senior tim intelijen ancaman Unit 42 dari perusahaan keamanan Palo Alto Networks, yang telah menanggapi beberapa serangan yang terkait dengan grup ini.

"Mereka jauh lebih canggih daripada banyak pelaku kejahatan siber lainnya. Mereka tampak disiplin dan terorganisir dalam serangan mereka," katanya. "Dan ini sesuatu yang biasanya lebih sering kita lihat dengan aktor negara-negara, dibandingkan dengan penjahat siber."

Dikenal dalam industri keamanan dengan berbagai nama seperti Scattered Spider, Muddled Libra, dan UNC3944, peretas ini diberitakan mencuri data perusahaan-perusahaan besar seperti MGM Resorts dan Caesars Entertainment.

Di balik layar, sejumlah perusahaan lain juga menjadi korban serangan mereka, menurut analis yang melacak intrusi-intrusi tersebut. Pihak berwenang mewaspadai serangan ini akan terus berlanjut.

FBI sedang menyelidiki peretasan MGM dan Caesars, dan kedua perusahaan tersebut belum mengomentari siapa pelaku di balik serangan tersebut.

Dari Kanada hingga Jepang, perusahaan keamanan CrowdStrike telah melacak 52 serangan di seluruh dunia oleh grup ini sejak Maret 2022, kebanyakan di Amerika Serikat. Perusahaan Intelijen yang dimiliki Google, Mandiant, mencatat lebih dari 100 intrusi oleh grup ini dalam dua tahun terakhir.

Hampir setiap industri, mulai dari telekomunikasi hingga keuangan, perhotelan, dan media, telah menjadi korban. Reuters bahkan tidak dapat menentukan sejauh mana uang yang telah diperoleh para peretas melalui tebusan.

Namun, yang membedakan grup ini bukan hanya skala atau cakupan serangannya. "Mereka sangat terampil dalam apa yang mereka lakukan dan sangat "kejam" dalam interaksi dengan korban," kata Kevin Mandia, pendiri Mandiant.

Kecepatan  mereka saat menembus dan mengambil data dari sistem perusahaan dapat menghentikan tim respons keamanan, dan mereka juga meninggalkan catatan ancaman bagi staf organisasi korban di sistem mereka, serta menghubungi mereka melalui pesan teks dan surel.

Dalam beberapa kasus, peretas yang terkait dengan Scattered Spider telah membuat panggilan palsu untuk memanggil unit polisi yang  bersenjata ke rumah para eksekutif perusahaan target.

"Teknik ini, disebut sebagai SWATing, adalah sesuatu yang sangat mengerikan jika dihadapi sebagai korban," kata Mandia. "Saya bahkan tidak berpikir bahwa intrusi ini hanya tentang uang. Saya pikir ini tentang kekuasaan, pengaruh, dan ketenaran. Ini membuat lebih sulit untuk merespons."

Tidak ada detail yang tersedia mengenai lokasi atau identitas Scattered Spider. Berdasarkan percakapan peretas dengan korban dan petunjuk yang diperoleh dari penyelidikan intrusi, Adam Meyers dari CrowdStrike mengatakan bahwa mereka sebagian besar berusia 17-22 tahun.

Mandiant memperkirakan bahwa mereka sebagian besar berasal dari negara-negara Barat, tetapi tidak jelas berapa banyak orang yang terlibat.

Sebelum menghubungi pusat bantuan, peretas mengumpulkan informasi karyawan, termasuk kata sandi, dengan teknik sosial, terutama 'SIM swapping' - sebuah teknik di mana mereka menipu seorang perwakilan layanan pelanggan perusahaan telekomunikasi untuk mengalihkan nomor telepon tertentu dari satu perangkat ke perangkat lain, kata para analis.

Mereka juga tampaknya berusaha memahami bagaimana organisasi besar bekerja, termasuk vendor dan kontraktor mereka, untuk menemukan individu dengan akses istimewa yang bisa mereka incar, menurut para analis.

Ini adalah sesuatu yang dilihat langsung oleh David Bradbury, kepala pejabat keamanan perusahaan manajemen identitas Okta, ketika dia menemukan beberapa pelanggan Okta - termasuk MGM - yang disusupi oleh Scattered Spider bulan lalu. Okta menyediakan layanan identitas seperti otentikasi multi-faktor yang digunakan untuk membantu pengguna mengakses aplikasi dan situs web secara aman.

"Para pelaku ancaman jelas telah mengikuti kursus-kursus yang kami sediakan secara online, mereka jelas mempelajari produk kami dan bagaimana cara kerjanya," kata Bradbury. "Ini adalah hal yang belum pernah kami lihat sebelumnya."

Sebuah grup yang lebih besar yang dikenal sebagai ALPHV mengklaim minggu lalu bahwa mereka adalah pelaku di balik peretasan MGM, dan para analis percaya bahwa mereka menyediakan perangkat lunak dan alat serangan untuk dilakukan oleh Scattered Spider.

"Kolaborasi semacam ini umum bagi para pelaku kejahatan siber," kata Bradbury dari Okta. ALPHV, yang menurut Mandiant adalah "ransomware-as-a-service", akan menyediakan layanan seperti pusat bantuan, halaman web, dan merek, dan sebagai gantinya akan mendapatkan bagian dari apa yang akan diperoleh Scattered Spider dari peretasan tersebut.

Sementara banyak serangan ransomware tidak diketahui publik, peretasan MGM adalah contoh nyata dari dampak dunia nyata dari serangan semacam ini. Ini menyebabkan kekacauan di Las Vegas, dengan mesin perjudian mati dan sistem hotel terganggu.

Kelompok peretas ransomware sering beroperasi seperti organisasi besar dan terus mengembangkan metode mereka untuk beradaptasi dengan langkah-langkah keamanan terbaru yang digunakan oleh organisasi.

"Dalam beberapa hal, ini seperti permainan kucing dan tikus yang kuno," kata Whitmore, yang membandingkan Scattered Spider dengan Lapsus$, kelompok lain yang pernah meretas Okta dan perusahaan teknologi raksasa Microsoft. Polisi Inggris tahun lalu menangkap tujuh orang berusia antara 16 dan 21 tahun setelah peretasan tersebut.