koranindopos.com – Jakarta. Para profesional keamanan siber kemungkinan akan menjadikan serangan ransomware Akira sebagai contoh pembelajaran utama untuk tahun-tahun mendatang. Para penyerang mengenkripsi komputer sebuah organisasi dengan meretas kamera pengawas. Meski tampak kontradiksi dengan intuisi pada pandangan pertama, rangkaian kejadian tersebut mengikuti logika yang dapat dengan mudah diterapkan ke organisasi yang berbeda dan perangkat yang berbeda dalam infrastrukturnya.
Anatomi serangan
Penyerang mengeksploitasi kerentanan dalam aplikasi yang dapat diakses publik untuk menembus jaringan dan menjalankan perintah pada host yang terinfeksi. Setelah pelanggaran awal, mereka meluncurkan alat akses jarak jauh populer AnyDesk dan memulai sesi RDP dengan server file organisasi. Mengakses server, mereka mencoba menjalankan ransomware, tetapi sistem EDR perusahaan mendeteksi dan mengkarantinanya. Sayangnya, hal ini tidak menghentikan para penyerang.
Karena tidak dapat menyebarkan ransomware pada server atau workstation, yang dilindungi oleh EDR, para penyerang menjalankan pemindaian LAN dan menemukan kamera video jaringan. Meskipun ada referensi berulang kali ke “webcam” dalam laporan investigasi insiden, Kaspersky meyakini itu bukan kamera internal laptop atau smartphone, tetapi perangkat jaringan mandiri untuk pengawasan video.
Ada beberapa alasan mengapa kamera menjadi target ideal bagi para penyerang:
- Karena firmware-nya yang sangat ketinggalan zaman, perangkat tersebut rentan terhadap eksploitasi jarak jauh, yang memberi penyerang akses shell dan kemampuan untuk menjalankan perintah.
- Kamera tersebut menjalankan Linux versi ringan yang mampu menjalankan biner standar untuk sistem operasi ini. Secara kebetulan, persenjataan Akira berisi alat enkripsi berbasis Linux.
- Perangkat khusus ini tidak memiliki — dan kemungkinan tidak mampu mendukung — agen EDR atau kontrol keamanan lainnya untuk mendeteksi aktivitas berbahaya.
Penyerang dapat memasang malware mereka di kamera, dan menggunakan perangkat tersebut sebagai pijakan untuk mengenkripsi server organisasi.
Cara menghindari menjadi korban berikutnya
Insiden kamera IP dengan jelas menggambarkan prinsip-prinsip tertentu dari serangan siber yang ditargetkan, dan memberikan wawasan tentang tindakan pencegahan yang efektif. Berikut Kaspersky jabarkan peringkat tindakan pencegahan, dari yang termudah hingga yang paling rumit:
- Batasi akses ke perangkat jaringan khusus dan izinnya.Faktor utama dalam serangan ini adalah akses kamera IP yang terlalu permisif ke server file. Perangkat ini harus berada dalam subnet yang terisolasi. Jika itu tidak memungkinkan, perangkat tersebut harus diberi izin sesedikit mungkin untuk berkomunikasi dengan komputer lain. Misalnya, akses tulis harus dibatasi ke satu folder di satu server tertentu tempat rekaman video disimpan. Dan akses ke kamera dan folder ini harus dibatasi ke stasiun kerja yang hanya digunakan oleh petugas keamanan dan personel berwenang lainnya. Meskipun menerapkan pembatasan ini mungkin lebih menantang untuk perangkat khusus lainnya (seperti printer), hal itu mudah dicapai dengan kamera.
- Nonaktifkan layanan yang tidak pentingdan akun default pada perangkat pintar, dan ubah kata sandi default.
- Gunakan solusi EDRdi semua server, stasiun kerja, dan perangkat lain yang kompatibel. Solusi yang dipilih harus mampu mendeteksi aktivitas server yang tidak lazim, seperti upaya enkripsi jarak jauh melalui
- Perluas program manajemen kerentanan dan patchuntuk mencakup semua perangkat pintar dan perangkat lunak server. Mulailah dengan melakukan inventarisasi terperinci dari perangkat tersebut.
- Jika memungkinkan, terapkan pemantauan, seperti penerusan telemetri ke sistem SIEM,bahkan pada perangkat khusus yang tidak memungkinkan penerapan EDR: router, firewall, printer, kamera pengawas video, dan perangkat serupa.
- Pertimbangkan transisi ke solusi kelas XDR, yang menggabungkan pemantauan jaringan dan host dengan teknologi deteksi anomali, dan alat untuk respons insiden manual dan otomatis. (ris)
