Kurangnya program bug bounty tidak akan menghalangi serangan pemerasan dunia maya ( Lack of bug bounty programs won't deter cyber extortion attacks )
oleh
Peter Loshin
Editor situs
Diterbitkan: 2 Juni 2016
Seorang peneliti keamanan telah melaporkan kampanye yang tidak biasa dari serangan cyber terhadap 30 perusahaan selama tahun lalu di mana data sensitif atau pribadi yang diposting ke server cloud dan diikuti oleh email dari penyerang yang meminta pembayaran dalam pertukaran untuk mengungkapkan bagaimana data tersebut diambil.
Rangkaian serangan pemerasan maya ditemukan oleh seorang peneliti keamanan di IBM yang dijuluki serangan "bug perburuan" karena kemiripan dengan transaksi yang dilakukan melalui program karunia bug, di mana perusahaan menawarkan pembayaran kepada peneliti yang melaporkan kelemahan atau kerentanan dalam infrastruktur jaringan organisasi atau produk.
"Sangat penting untuk dicatat bahwa ini tidak kasus di mana organisasi korban telah mensponsori karunia bug programthat memungkinkan kegiatan ini," tulis John Kuhn, peneliti ancaman senior di IBM Managed Security Services yang menemukan kampanye. "Ini semua dilakukan di bawah penyamaran berpura-pura menjadi orang baik ketika, pada kenyataannya, itu adalah pemerasan murni pada skala topi hitam. Serangan ini dilakukan oleh penjahat berpura-pura ingin melakukan sesuatu yang baik bagi organisasi tetapi menuntut pembayaran untuk melakukannya. "
Aspek paling menarik dari ini, Kuhn mengatakan, adalah "daerah abu-abu moral" bahwa penyerang beroperasi di.
"Mereka adalah topi hitam, karena mereka melakukan mengeksploitasi perusahaan ini dan mereka melakukan kebocoran data mereka dan diposting secara online. Ini akan menjadi perilaku kriminal oleh hukum. Tapi mereka mengatakan, 'kami akan melindungi data ini, jika Anda hanya memberikan kita uang. ' Dan itu pemerasan, "kata Kuhn SearchSecurity. "Mereka etis bisa mengungkapkan kerentanan ini untuk perusahaan jika mereka benar-benar ingin membantu mereka. Mereka bisa melakukannya tanpa meminta tebusan, maka sementara ini mungkin 'abu-abu-ish' daerah, bagi saya, itu hanya pemerasan."
Rincian serangan, korban
Sambil mengingatkan bahwa ia tidak bisa memberikan spesifik dari serangan cyber pemerasan atau korban, Kuhn melakukan memberitahu SearchSecurity bahwa dalam "yang kami menyadari, tebusan adalah $ 30.000 dalam setiap kasus. Mereka tampaknya akan menjalankan pemerasan flat-fee. "
"Kami menyadari satu perusahaan yang melakukan [membayar]," kata Kuhn, dan dalam hal bahwa penyerang "tidak mengikuti kata-kata mereka, mereka melakukan mengungkapkan kerentanan terhadap perusahaan itu."
penjahat ini mengklaim mereka melakukan layanan untuk organisasi ini, tapi benar-benar ini adalah lurus ke atas manajer intelijen extortion.Karl Siglerthreat, Trustwave
"Tidak ada kesamaan yang nyata antara semua korban, selain itu kebanyakan dari mereka memiliki mudah eksploitasi injeksi SQL," Kuhn mengatakan, yang mungkin berarti bahwa penyerang "sedang mencari hal-hal yang mudah untuk mengeksploitasi dan menarik pemerasan ini dengan cepat dan lebih efisien . "
Kuhn tidak mengesampingkan kemungkinan bahwa penyerang menggunakan kerentanan lainnya. "Saya tidak tahu secara spesifik ke-30 [serangan], saya tahu secara spesifik dari beberapa, dan mereka adalah suntikan SQL, tapi aku harus membayangkan mereka tidak semua suntikan SQL."
Kuhn tidak akan berspekulasi tentang identitas para penyerang. "IBM tidak pernah turun rantai atribusi. Saya mengerti bagaimana serangan itu terjadi dan bagaimana hal itu diatur dan banyak spesifikasi itu, tapi kami tidak pernah mencoba untuk mencari tahu apakah itu satu orang atau kelompok. Kami meninggalkan ke penegak hukum . "
Apakah itu benar-benar baru?
"Ini bukan strategi baru," kata Kuhn. "Tapi itu bukan sesuatu yang banyak orang berbicara tentang, dan itu tidak terjadi yang sering." Kuhn mengatakan bahwa, sebelumnya ke 30 serangan yang terjadi dalam tahun lalu, "aku bisa menghitung mungkin satu atau dua yang saya dengar dari dalam 14 tahun sebelumnya. Ini secara signifikan meningkat, dan semakin bahwa hal itu terjadi, dan lebih banyak orang yang membayar tebusan tersebut, yang lebih populer teknik ini akan menjadi. aku hanya bisa melihatnya mendapatkan lebih canggih. sekarang, mereka akan setelah buah tergantung rendah, suntikan SQL mudah. "
"Saya pasti berpikir bahwa jenis kegiatan akan meningkat, itu sebabnya saya memutuskan untuk berbicara tentang hal itu," kata Kuhn. "Aku harus setidaknya membuat perusahaan menyadari bahwa ini mungkin terjadi pada mereka, dan mendapatkan beberapa kesadaran akan sehingga orang dapat mulai membangun rencana respon sekitarnya, dan memahami bagaimana tepatnya mereka akan menangani situasi ini jika terjadi pada mereka."
Karl Sigler, ancaman manager intelijen di Trustwave, mengatakan: "Jenis ini cerita setua peretasan Kembali bahkan untuk tahun 1990 Anda akan menemukan kisah-kisah hacker menuntut pembayaran untuk mengungkap beberapa bug kritis mereka 'ditemukan' dalam infrastruktur organisasi. . penjahat ini mengklaim mereka melakukan layanan untuk organisasi ini, tapi benar-benar ini adalah lurus ke atas pemerasan. "
Lysa Myers, peneliti keamanan di ESET, setuju bahwa sementara istilah "bug perburuan" baru, konsep pemerasan cyber tidak. "Risikonya adalah karena selalu [bahwa] jika keamanan Anda adalah lemah, hal-hal buruk dapat dan mungkin akan terjadi. Sangat penting untuk software Anda tetap up to date, dan data sensitif Anda dienkripsi saat istirahat dan dalam perjalanan. Ada banyak cara untuk membuat sistem anda target tidak menarik bagi para penjahat sehingga mereka akan bergerak sepanjang ke target berikutnya. "
"[W] e melihat jenis serangan terhadap server web setiap hari. Ini adalah contoh lain dari lawan memanfaatkan serangan yang tidak bergantung pada malware," kata Dan Larson, direktur manajemen produk teknis di CrowdStrike, menambahkan bahwa dengan endpoint yang modern produk keamanan adalah mungkin untuk "mengidentifikasi dan mencegah serangan semacam ini dengan melihat perilaku penyerang. dalam kasus ini, perilaku ini biasanya serangan injeksi SQL diikuti oleh penyerang menjatuhkan shell web."
Apa yang harus dilakukan tentang hal itu?
Kuhn menyarankan korban bug perburuan untuk memulai dengan mengumpulkan semua informasi yang tersedia tentang serangan dunia maya pemerasan, termasuk email dari para penyerang serta server log, dan kemudian menghubungi "penegak hukum setempat, FBI atau Interpol."
Peter Loshin bertanya:
Bagaimana organisasi Anda akan menanggapi bug perburuan serangan maya pemerasan?
Kuhn menulis: "Ada banyak perdebatan mengenai apakah sebuah organisasi maka harus membayar tebusan Sementara dalam kasus ini ada indikasi bahwa penyerang dapat memberikan rincian dari kerentanan setelah pembayaran, salah satu bisa berpendapat bahwa mungkin tidak selalu menjadi kasus. . organisasi akan berkontribusi terhadap cybercrime. "
Kuhn menulis bahwa "fakta bahwa organisasi memiliki sejarah membayar tebusan mungkin memberanikan masalah masa depan," menambahkan bahwa "sebuah perusahaan dengan postur keamanan perusahaan tidak perlu membayar tebusan sama sekali. Investigasi forensik dari serangan itu dan metodologi yang bisa mudah mengidentifikasi mengeksploitasi digunakan tanpa membayar penyerang. "
Adapun pencegahan, Kuhn merekomendasikan menjalankan scan kerentanan dari setiap server menghadap ke luar, menjalankan tes penetrasi, menggunakan IPS dan aplikasi web firewall, pengujian dan audit kode aplikasi web sebelum dinyalakan, dan menggunakan SIEM untuk memantau dan log mengalir jaringan data. Dia juga mengatakan: "Ini kunci untuk memiliki dan memelihara rencana insiden respon jika Anda menghadapi ancaman serupa Memastikan organisasi Anda tahu siapa yang harus dihubungi dan bagaimana menanggapi di muka sangat penting untuk respon yang efektif dan mitigasi.."
"Ini tidak mengherankan bahwa para penjahat tertentu terutama mengandalkan SQL injection untuk exfiltrate data yang digunakan untuk pemerasan," kata Sigler, menambahkan bahwa SQL injection adalah salah satu kelemahan yang paling umum perusahaannya menemukan selama aplikasi web audit dan penetrasi tes. "Bisnis harus melakukan penilaian kerentanan yang sedang berlangsung dan uji penetrasi dari setiap layanan yang dihadapi masyarakat. Mempekerjakan firewall aplikasi web di depan server web Anda juga akan membantu mencegah serangan jenis ini. Akhirnya, monitoring server log web Anda dan aktivitas jaringan dapat membantu Anda tempat pelanggaran sebelum kerusakan besar bisa dilakukan. "
sumber : http://searchsecurity.techtarget.com/news/450297703/Lack-of-bug-bounty-programs-wont-deter-cyber-extortion-attacks
