media-nasional.com – Penulis: Stiv Kupchik, Cyber Security Researcher, Guardicore*

Baru-baru ini data milik kelompok ransomware Conti bocor ke publik. Data ini mengungkap banyak hal, antara lain organisasi dan modus operandi Conti. Apa yang dapat kita pelajari dari kejadian ini?

Conti disinyalir sebagai salah satu grup hacker ransomware paling agresif melancarkan serangan dalam beberapa tahun ini. Kelompok ini telah menyerang organisasi di berbagai negara, termasuk Indonesia.

Akhir tahun 2021, kelompok ini berupaya melancarakan serangan ransomware Conti ke sistem milik Bank Indonesia. Namun BI memastikan tidak ada data-data strategis yang terdampak atau berhasil diretas.

Conti menyerang dengan cara mengenkripsi berbagai jenis data di jaringan perusahaan, rumah sakit, bisnis, lembaga pemerintah, dan lain-lain. Menurut Chainalysis, grup Conti berhasil meraup keuntungan kotor tertinggi di antara grup ransomware yang ada sepanjang tahun 2021, yaitu diperkirakan mencapai US$180 juta.

Keuntungan yang mereka raih ini berkat keberhasilan Conti memaksa pihak korban membayar tebusan yang jumlahnya signifikan agar korban dapat mengakses datanya kembali melalui kunci dekripsi (decryption key). Seperti halnya ransomware lainnya, aksi Conti umumnya dimulai dengan mencuri file/data, mengenkripsi file, atau jaringan untuk kemudian meminta pembayaran tebusan ke pihak korban (organisasi, perusahaan).

Banyak pakar keamanan siber meyakini grup Conti, langsung atau tidak, berkaitan dengan pihak Rusia. Hal itu terindikasi saat pihak Conti menyatakan dukungannya terhadap invasi Rusia ke Ukraina. Meski belakangan, Conti menarik dukungannya dan mengecam perang.

Yang menarik, Conti justru mengalami kebocoran data (data leak) yang sedikit banyak mengungkapkan mulai dari bagaimana kelompok ini melancarkan operasinya, melakukan rekrutmen, sampai cara mereka memilah target penyerangan.

Hal ini berawal dari akun Twitter @contileaks (dibuat 27 Februari 2022) yang membocorkan sekitar 400 dokumen internal, source code dan log percakapan Conti, serta alamat dari beberapa server internal dan kode sumber mereka.

Kabar yang beredar, aksi pembocoran dokumen ini dianggap sebagai respons balik atas dukungan publik Conti terhadap pemerintah Rusia selama konflik Rusia-Ukraina. Namun akun @contileaks mengeklaim dirinya hanyalah seorang peneliti sekuriti independen asal Ukraina.

Perlu diingat, terlepas dari data yang bocor ke publik, pihak/operator Conti tetap akan melanjutkan operasi bisnisnya untuk menyusup ke jaringan, mengekstraksi data organisasi, dan akhirnya menyebarkan ransomware di jaringan.

Oleh karenanya, dengan mengetahui operasional bisnis dan TTP (tactics, techniques, procedures) dari grup Conti, semua organisasi yang melakukan transformasi digital dapat mengambil manfaat dan melakukan antisipasi dan mitigasi terhadap serangan Conti maupun ransomware lain dengan lebih baik di masa mendatang.

Struktur Organisasi Kelompok Conti

Sama seperti perusahaan pada umumnya, struktur Conti terdiri dari manajemen atas dan menengah hingga level karyawan. Sederhananya struktur organisasi terdiri dari enam bagian, yaitu operasional, SDM, keuangan, TI, litbang (penelitian & pengembangan), dan pemasaran.

Bagian litbang merupakan bagian penting untuk memastikan kelangsungan bisnis grup Conti. Dinamika di dunia siber memaksa Conti harus tetap adaptif terhadap perkembangan teknologi dan software sekuriti di pasar. Conti juga berinvestasi dan menguji beberapa Antivirus (Windows Defender, ESET Nod32, Avast Home, Kaspersky Antivirus, Bitdefender) untuk memastikan tidak terdeteksinya malware mereka oleh antivirus tersebut. Dengan mempelajari berbagai tool sekuriti dan versi yang berbeda, Conti dapat menyesuaikan dan memodifikasi malware mereka agar dapat sukses menyerang dan menembus sasaran jaringan.

Tidak kalah pentingnya adalah bagian TI. Berdasarkan data yang bocor, ada beberapa teknologi (software, tools, dll) yang digunakan Conti untuk mendukung operasional, penelitian, dan pengembangannya. Contohnya alat EDR (endpoint detection and response) yang terpasang pada semua PC admin untuk memantau aktivitas pengguna dalam organisasi dan firewall di jaringan.

Siklus Penyerangan Tiga Langkah

Metode serangan Conti bukan tergolong baru. Keberhasilan Conti terletak pada penggunaan tool yang efektif dan kegigihannya (persistence). Sebagian besar proses penyerangan dilakukan secara “hands on keyboard” alias mengandalkan perintah manual langsung (bukan automated scripts). Meskipun dokumen tidak menguraikan bagaimana Conti melakukan pembobolan awal ke jaringan, diperkirakan Conti mengembangkan berbagai crawler dan scanner di internet untuk mencari server yang dapat dibobol (memiliki celah keamanan), termasuk menembus proteksi password dengan metode brute force.

Crawler akan memberikan akses awal ke jaringan korban, atau menandainya untuk selanjutnya dibobol oleh operator dan afiliasi mereka. Crawler tersebut akan menyasar berbagai layanan, seperti server Apache Tomcat, Outlook Web Access (OWA), Remote Desktop Protocol (RDP), SQL, printer, dan mail.

Untuk mencapai sasaran inflitrasi dan penyebaran ke dalam jaringan, Conti menggunakan serangkaian tool. Selain tool buatan sendiri (crypter, trojan, dan injector), Conti juga menggunakan tools yang umum dikenal oleh tim sekuriti di perusahaan (tim merah dan biru), misalnya Cobalt Strike (tool utama), Mimikatz, PSExec, WinRM, EternalBlue,dan BluKeep.

Dokumen Conti yang bocor juga menggambarkan metodologi Conti dalam menyerang. Inti dari metodologi ini adalah mengumpulkan kredensial, melakukan penyebaran via jaringan, dan mengulang kembali langkah awal. Atau, ringkasnya: harvest credentials, propagate, repeat. Panduan lengkap bagaimana grup Conti melakukan pembobolan, penyebaran, dan menerapkan tebusan ransomware dapat disimak di sini.

Pencegahan dan Mitigasi

Terlepas dari kebocoran yang terjadi, Conti dan grup ransomware lain akan terus melanjutkan serangan ke infrastruktur TI perusahaan beserta layanan digitalnya. Namun, serangan siber yang merugikan dapat dicegah dengan langkah preventif yang relevan dengan perkembangan yang ada (up-to-date).

Serangan Conti umumnya diawali dengan menyasar kerentanan atau celah keamanan jaringan perusahaan yang belum diperbaiki (unpatched). Setiap perusahaan wajib memastikan tidak ada lagi kerentanan tersebut dan sesegera mungkin melakukan patch jika ditemukan kerentanan baru atau zero day. Selanjutnya, perusahaan harus menerapkan aturan password yang ketat dan perlindungan multi-factor authentication (MFA) untuk semua pengguna.

Bagian keamanan siber di perusahaan juga harus konsisten memantau jaringan untuk mendeteksi aktivitas mencurigakan secara tepat waktu. Serangan ransomware dapat dihindari jika ransomware bisa ditemukan sebelum ia diluncurkan atau dieksekusi, meskipun penyerang sudah berhasil masuk di dalam jaringan.

Karena permukaan serangan (attack surface) memiliki banyak aspek, sistem keamanan perusahaan sebaiknya juga harus memiliki beberapa lapisan, meski ini pun tidak menjamin keamanan seratus persen. Serangan Conti merupakan rangkaian yang kompleks sebelum ransomware dilakukan. Ini memberi kesempatan bagi sekuriti TI untuk mendeteksi dan merespons serangan tersebut.

Inilah beberapa lapisan proteksi yang dapat diterapkan oleh organisasi dalam rangka menangkal serangan Conti maupun ransomware lainnya:

Access control dan ZeroTrust

Penerapan kontrol atas siapa yang dapat mengakses apa dan di mana, serta memisahkan ‘power user’ dari aktivitas harian, efektif menghalangi dan memperlambat proses pergerakan lateral Conti.

Segmentasi

Kontrol jalur komunikasi dengan menonaktifkan protokol yang dapat disalahgunakan untuk pergerakan lateral (RPC, RDP, WinRM, SSH, dll.) di antara pengguna (endpoint), membatasi akses ke file share, dan membatasi akses ke server database dan backup secara signifikan mengurangi serangan permukaan di jaringan.

Web Application Firewall (WAF)

Sebelum serangan menyebar lebih luas, penyerang harus mendapatkan pijakan di dalam jaringan. Berkaca dari kasus Conti, crawler dan vektor akses awal mereka dimulai dengan melancarkan phishing (mail spambot) dan mengeksploitasi celah keamanan layanan (OWA, injeksi SQL, Apache Tomcat cgi-bin). Dengan aplikasi WAF yang baik seharusnya serangan seperti ini dapat diblokir lebih awal di jaringan.

Inventarisasi software dan manajemen patch

Melacak dan mengetahui di mana software diinstalasi dapat membantu mendeteksi komponen tambahan yang tidak diinginkan/diperlukan. Hal ini berlaku untuk backdoor Conti, seperti Atera dan AnyDesk, beserta serangan lainnya, (LAPSUS$ dengan procexp dan ProcessHacker).

Selain itu, manajemen patch juga dapat melindungi jaringan. Tidak satu pun eksploit yang ada bersifat baru alias patch-nya telah lama dirilis. Meski demikian, Conti dan grup lainnya telah bisa membobol karena banyak server yang tidak konsistem melakukan proses patch.

Deteksi malware – EDR/AV

Sebagai ‘last resort’ proteksi keamanan sistem di jaringan, deteksi dan respons endpoint (endpoint detection and response/EDR) atau Antivirus (AV) yang baik dan up-to-date dapat membantu mendeteksi dan memblokir tool yang digunakan selama serangan. Hal ni berkaca dari Conti yang selalu menguji apakah tool mereka tidak terdeteksi softaware di atas, jadi vital untuk selalu melakukan update software.

Beberapa EDR terbaru juga mengklaim dapat mendeteksi dan mencegah ransomware secara heuristik, ketika ransomware mulai mengenkripsi host. Terlepas dari klaim level keefektifannya, perusahan tetap perlu mempertimbangkan penggunaannya.

*Guardicore adalah penyedia solusi micro segmentation yang diakuisisi Akamai pada tahun 2021.