Di Israel, serangan ransomware terhadap perusahaan swasta menimbulkan ancaman keamanan nasional jenis baru
- keren989
- 0
Setiap minggu sekitar seribu institusi di Israel terkena serangan dunia maya. Ini adalah rentetan infiltrasi komputer yang terus-menerus. Sebagian besar adalah serangan ransomware dan motifnya adalah uang.
Sampai saat ini.
Pada tahun 2021, beberapa insiden menampilkan penyerang yang meminta uang tebusan, namun perilaku mereka bertentangan dengan perampokan ransomware pada umumnya dan menunjukkan bahwa mereka memiliki tujuan berbeda yang tersembunyi di balik permukaan. Mereka mengajukan tuntutan mereka dengan semangat yang luar biasa, seolah-olah mereka ingin kejahatan mereka menjadi tindakan publik. Sasarannya sebagian besar adalah perusahaan skala menengah seperti aplikasi kencan dan perusahaan asuransi, yang cukup besar untuk meningkatkan kekhawatiran publik namun tidak cukup besar untuk mendorong tindakan dari negara Israel. Yang paling penting, kelompok-kelompok di balik serangan itu memiliki hubungan yang berbeda-beda dengan Iran.
“Saya menyebutnya sebagai ancaman hibrida. Ada serangan yang dianggap sebagai serangan siber politik, yang dilakukan oleh negara atau aktor non-negara, namun memiliki agenda politik,” kata Gabi Siboni, kepala program keamanan siber di The Jerusalem Institute for Strategy and Security. “Dan ada penjahat dunia maya. Tapi apa yang bisa Anda lihat adalah hal itu menjadi kacau.”
Serangan ransomware generasi baru ini menyoroti bagaimana sebuah front baru berkembang dalam konflik antara Iran dan Israel. Tampaknya merupakan kejahatan finansial, ransomware telah menjadi alat kenegaraan dengan tujuan geopolitik untuk merusak ikatan sosial masyarakat Israel dan kepercayaan publik terhadap institusi negara tersebut, dibandingkan merusak infrastruktur atau mengambil keuntungan finansial.
Meskipun Direktorat Siber Israel telah mengeluarkan beberapa rekomendasi dan peringatan mengenai “gelombang serangan” baru ini, tanggung jawab untuk melindungi sistem komputer pribadi masih berada di tangan perusahaan. Munculnya ransomware geopolitik mengeksploitasi kerentanan struktural: sebuah cara untuk merusak kohesi sosial suatu negara melalui serangan geopolitik yang melewati pertahanan negara.
Oktober lalu, dalam apa yang disebut peretasan “Atraf”, Black Shadow, sebuah grup yang memiliki hubungan dengan Iran, membobol server CyberServe, sebuah perusahaan hosting Israel, dan memperoleh akses ke situs web dan aplikasi klien perusahaan tersebut.
Di antara kliennya adalah aplikasi kencan LGBTQ, Atraf. Basis data aplikasi tidak dienkripsi, sehingga memudahkan peretas mendapatkan informasi pribadi yang sangat sensitif. Sebelum meminta uang tebusan, kelompok tersebut membuang puluhan ribu catatan dari berbagai situs yang mereka tembus. Kebocoran tersebut mencakup seribu profil pengguna di database pelanggan Atraf yang mengungkapkan informasi seperti nama, orientasi seksual, kata sandi yang tidak terenkripsi, lokasi dan status HIV.
Para penyerang meminta $1 juta sebagai imbalan atas kunci enkripsi dan mengancam akan membocorkan lebih banyak informasi.
Persamaan Ransomware dengan disinformasi sangat mencolok. Meskipun sebagian besar serangan ransomware tingkat tinggi terjadi di AS, Inggris, dan Eropa, sebagian besar serangan terjadi di negara-negara yang menghadapi ketidakstabilan politik, seperti di Amerika Latin dan Afrika.
Banyak organisasi yang menyandera digital berasal dari sarang yang sama dimana kampanye disinformasi dihasilkan, seperti Rusia, Ukraina, Korea Utara, dan Filipina. Ransomware menyebar melalui perpecahan politik yang sama dengan kampanye disinformasi, memperdagangkan eksploitasi kesenjangan ekonomi, ketakutan terhadap imigran, dan kebencian rasial untuk melemahkan kepercayaan publik terhadap institusi dan kepercayaan terhadap stabilitas sosial.
Ketika disinformasi menggunakan kebisingan dan ketidaksesuaian untuk menabur keraguan dan menyebarkan perpecahan, ransomware juga melakukan hal serupa: ia juga merupakan agen kekacauan. Ini mungkin tampak seperti cara untuk menghasilkan uang kripto, namun dampaknya, sering kali disengaja, jauh lebih besar.
Peretasan CyberServe memiliki sedikit kemiripan dengan serangan ransomware klasik. Semuanya sangat umum. Grup tersebut menggunakan Telegram dan RaidForum untuk pengumuman mereka daripada berkomunikasi langsung dengan perusahaan. Pelaku yang bermotivasi finansial biasanya melakukan negosiasi pribadi, namun grup Telegram yang dijalankan oleh Black Shadows terlihat seperti kampanye publik – lengkap dengan hitung mundur dan pesan-pesan ceria.
‘Sifat gelombang serangan ini sebenarnya adalah untuk menebarkan ketakutan dan rasa teror pada masyarakat Israel dengan menyerang sasaran-sasaran penting atau sasaran-sasaran yang dapat menarik perhatian media yang cukup.’ kata Lotem Finkelsteen dari Checkpoint, sebuah perusahaan keamanan siber. Ini menjelaskan perilaku publik para penyerang. “Mereka lebih fokus untuk mengulangi serangan tersebut, mempermalukan korban dan mengembangkan ekspektasi pada pengikut Twitter/Telegram dibandingkan mendapatkan pembayaran finansial.”
Iran dan Israel adalah musuh bebuyutan. Setelah negara Israel didirikan pada tahun 1948, Iran menjadi negara mayoritas Muslim kedua yang mengakui Israel sebagai negara berdaulat. Iran menarik pengakuannya setelah revolusi tahun 1979 dan sering mengancam Israel dengan pemusnahan total. Dunia siber sering kali mencerminkan ketegangan di kehidupan nyata, jadi begitu teknologi tinggi memasuki kehidupan kita, kedua musuh tersebut dengan cepat mengambil senjata siber.
Konflik siber yang sudah berlangsung lama di kedua negara telah mengalami banyak perubahan, namun hingga saat ini peretasan yang terjadi terutama terkonsentrasi pada infrastruktur militer. Ini sedang berubah. Kedua belah pihak semakin menargetkan infrastruktur sipil dan perusahaan swasta. Peretasan baru-baru ini yang dikaitkan dengan Israel termasuk serangan terhadap Universitas Teheran dan sistem yang memungkinkan jutaan warga Iran menggunakan kartu yang dikeluarkan pemerintah untuk membeli bahan bakar dengan harga bersubsidi. Iran mengejar perairan Israel. Bulan April lalu, enam fasilitas menjadi sasaran dalam upaya untuk meningkatkan jumlah klorin dalam pasokan air ke tingkat yang sangat berbahaya.
Menurut Boaz Dolev, CEO perusahaan keamanan siber ClearSky, serangan Black Shadow sebelumnya terhadap perusahaan asuransi Israel Shirbit juga membingungkan. Setelah mencuri data perusahaan, penyerang menghapus informasi dari server alih-alih mengenkripsinya. “Ini bukanlah sesuatu yang dilakukan oleh kelompok ransomware,” katanya. Setelah menuntut $1 juta dalam bentuk bitcoin, Black Shadow menolak memberi perusahaan perpanjangan empat jam melewati tenggat waktu untuk memberikan pembayaran penuh.
Seorang negosiator dunia maya Israel, yang meminta anonimitas untuk menjaga profil profesional non-publik, juga mempertanyakan motivasi Black Shadow. “Saya bukan seorang analis cyber, saya seorang negosiator. Yang bisa saya identifikasi sejak awal adalah apakah motivasi orang tersebut bersifat politis, artinya menimbulkan kekacauan, ketidakpastian, dan melemahkan kepercayaan masyarakat terhadap sistem. Bagi Shirbit, sangat jelas bahwa ini adalah serangan bermotif politik dan bukan serangan bermotif finansial.”
Negosiator dunia maya ini baru-baru ini menghadapi serangan jahat serupa terhadap perusahaan-perusahaan Israel. Di salah satu perusahaan, dia mulai bernegosiasi dengan kelompok peretas bernama “Pay2Key”. Pada awalnya, hal ini tampak seperti serangan ransomware biasa baginya, namun kemudian dia menyadari adanya tanda bahaya. Misalnya, grup tersebut adalah aktor yang sebelumnya tidak dikenal, namun mereka menggunakan bahasa yang sangat agresif.
Meski demikian, perusahaan memutuskan untuk membayar uang tebusan. Pay2Key tidak menyediakan dekripsi data. Untuk mencapai puncak dalam industri tebusan, reputasi itu penting. Mengambil uang tebusan dan tidak memberikan kunci dekripsi sebagai imbalan bagi perusahaan untuk memulihkan datanya sangat buruk bagi bisnis yang berulang.
Setelah beberapa kali bertemu dengan pelaku ransomware yang tidak biasa, negosiator dunia maya mulai mencermati ancaman yang mereka timbulkan. Analisis teknis serangan Pay2Key oleh perusahaan keamanan siber Dolev, ClearSky diperkirakan “dengan keyakinan sedang hingga tinggi” bahwa Pay2Key adalah operasi baru yang dilakukan oleh kelompok Iran bernama Fox Kitten, sebuah Ancaman Persisten Tingkat Lanjut, sebutan untuk aktor buram, biasanya terkait dengan pemerintah, yang menyediakan akses tidak sah untuk mengakses jaringan komputer dan tetap tidak terdeteksi. Pay2Key diyakini telah melancarkan gelombang serangan terhadap puluhan perusahaan Israel pada Juli dan Agustus 2020.
Serangan ini tidak hanya terjadi di Israel. FBI dan Badan Keamanan Siber dan Keamanan Infrastruktur AS baru-baru ini diidentifikasi sebuah kelompok Ancaman Persisten Tingkat Lanjut baru yang terkait dengan rezim Iran yang terlibat dalam “eksfiltrasi atau enkripsi data, ransomware, dan pemerasan” di AS dan Australia.
Faktanya, kelompok lain yang terkait dengan Iran mempunyai modus operandi yang tidak biasa. Pada Juni 2021, sebuah kelompok bernama Deus mengaku telah memperoleh 15 terabyte data dari Voicenter, sebuah perusahaan call center. Data tersebut berisi informasi tidak hanya milik Voicenter, tetapi juga 8.000 perusahaan yang menggunakan layanan mereka. Para peretas memposting contoh informasi, kamera keamanan dan rekaman webcam, foto, kartu identitas, pesan WhatsApp, email, dan panggilan telepon.
Mereka menggunakan saluran publik, meningkatkan tuntutan tebusan setiap 12 jam dan mengumumkan bahwa data tersebut akan dijual bahkan sebelum periode negosiasi selesai. Dengan cara ini, kelompok ancaman tingkat lanjut di Iran memainkan permainan poker ransomware: mencoba menimbulkan kerusakan sosial dan politik secara maksimal tanpa memicu pembalasan negara.
Perusahaan-perusahaan Israel enggan mengakui adanya serangan siber yang dilakukan oleh kelompok-kelompok Iran, justru karena publisitas tersebut dapat menimbulkan kegugupan dan keraguan mengenai kerasnya pertahanan Israel terhadap musuh kuatnya. Namun, kurangnya transparansi juga menciptakan kerentanan, kata pakar keamanan siber Israel. “Kami masih belum memiliki cukup informasi untuk menghubungkan kelompok-kelompok ini dengan pemerintah Iran, namun meskipun ada hubungan langsung ini, alat tebusan yang digunakan dalam serangan ini cukup konvensional dan kecil,” kata Einat Myron, pakar keamanan siber. Israel, kata.
“Tentu saja perusahaan-perusahaan menengah dapat melakukan pekerjaan yang lebih baik dalam melindungi mereka,” kata Myron. “Mungkin ikut serta dalam permainan aktor asing bisa menjadi motivasi baru bagi pemilik bisnis untuk mulai memperhatikan perlindungan data dengan serius.” – Rappler.com
Masho Lomashvili adalah peneliti di Coda Story.
Artikel ini diterbitkan ulang dari cerita Coda dengan izin.