Topi Hitam Orang berharap bahwa, setelah bertahun-tahun memberi tahu perusahaan untuk mengamankan sistem mereka, perusahaan akan memiliki keamanan aplikasi web yang lebih baik daripada yang dimiliki penjahat dunia maya. Namun, penelitian yang dipresentasikan di Black Hat minggu ini menunjukkan bahwa hal itu sama sekali tidak terjadi.
Vangelis StykasCTO dan salah satu pendiri perusahaan pengujian penetrasi Atropos, mengatakan Daftar bahwa, berdasarkan pengalamannya mencoba meretas aplikasi web (spesialisasinya), pelaku ransomware jauh lebih unggul dalam hal keamanan daripada target perusahaan mereka.
“Saya telah menguji 135 situs web (ransomware), dan saya hanya menemukan kerentanan di tiga di antaranya,” kata Stykas kepada kami dalam sebuah wawancara sebelum Black Hat bicaraJumlah tersebut setara dengan kurang dari 3 persen kelompok ransomware yang memiliki aplikasi web rentan, yang biasanya digunakan oleh pelaku ancaman untuk membuang data curian dan menerbitkan catatan tebusan.
“Itu tidak lazim dalam bisnis, di mana saya biasanya menemukan kerentanan pada 40 hingga 50 persen aplikasi web,” tambah Stykas.
Dan itu tidak bagus, bukan?
BlackCat tertangkap
Sebagai konteks, Stykas berhasil masuk ke portal web yang dikendalikan oleh beberapa kelompok yang cukup terkenal, termasuk ALPHV/Kucing Hitam, seperti yang ditunjukkan dalam presentasinya.
Setelah berhari-hari memindai URL C2 ALPHV secara terus-menerus untuk melihat mana yang online, Stykas memberi tahu kami bahwa ia berhasil membuat salah satu server membuang dokumentasinya untuk klien dan tugas, yang pada gilirannya memungkinkannya membuang tugas server dan membuat yang baru. Server itu segera offline, tetapi berbekal pengetahuan tentang API grup yang diperoleh dari intrusinya, Stykas mengambil tindakan.
“Saya membuat skrip Python yang mengurai titik akhir … Saya harus menunggu beberapa hari (agar dapat online), tetapi setelah itu saya dapat mengekstrak 197 perintah dalam dua menit,” jelasnya.
Stykas kemudian dapat mengidentifikasi beberapa korban ALPHV – termasuk beberapa unicorn di bidang mata uang kripto – yang dapat dihubunginya untuk membantu mereka mengatasi kerentanan dan mencegah mereka ditebus.
Hal ini terjadi pada bulan Januari, kata Stykas. Pada bulan Maret ALPHV/BlackCat telah meledakmelakukan penipuan dan sebagian besar menghilang.
“Saya tidak mau bertanggung jawab atas hal itu,” Stykas menolak, menjelaskan bahwa sifat kelompok yang sangat terkenal membuat harapan hidup mereka terbatas, terutama setelah kegagalan patung bulan Desember yang membuat kru dalam keadaan siaga tinggi. Namun, “Saya pikir (peretasan saya) membuat mereka sedikit stres.”
Stykas juga berhasil membobol sistem yang dikendalikan oleh kelompok ransomware Gunung Everestyang katanya menjalankan situs WordPress yang sudah ketinggalan zaman pada contoh VertigoServ yang sudah tidak berlaku lagi, yang memungkinkan dia untuk membuang seluruh database mereka; dan kelompok di balik Malloks keluarga ransomware. Dalam kasus terakhir, Stykas berhasil memanfaatkan fitur obrolan di portal kebocoran grup untuk mengidentifikasi beberapa anggota grup dan mencuri dekripsi.
Stykas memberi tahu kami bahwa ia telah menyelinap ke portal web kelompok ransomware keempat, tetapi belum siap untuk mengungkapkan rinciannya.
“Satu-satunya hal buruk yang saya alami selama dua tahun terakhir ini adalah saya mulai mendapat peringatan dari Google bahwa ada penyerang yang didukung pemerintah yang tengah berupaya melawan saya,” jelas Stykas.
Bukan berita terbaik untuk bangun tidur, tetapi sudah pasti menjadi indikasi kekhawatiran para penjahat dunia maya.
Sekarang bisakah Anda mengamankan sistem Anda?
Tidak mengherankan bahwa geng ransomware lebih pandai mengamankan situs web eksternal mereka – lagipula, mereka dipenuhi oleh orang-orang yang mampu meretas situs tersebut atau setidaknya orang-orang yang khawatir bahwa mereka dapat menjadi sasaran penyalahgunaan yang sama.
Jadi meskipun sangat memuaskan untuk berhasil mengalahkan taktik penjahat dunia maya, meretas situs web yang meminta tebusan mungkin bukan cara yang paling dapat diandalkan untuk melawan pelaku ancaman.
“Ini bisa bermanfaat jika Anda melakukannya sebagai pemerintah, atau perusahaan dengan banyak orang,” kata Stykas kepada kami – jika tidak, mungkin ini hanya membuang-buang waktu. “Saya melakukan ini di waktu luang saya, dan saya kira saya menghabiskan sekitar 100 jam.”
Dengan kata lain, mohon ambil pelajaran dari para penjahat yang mencoba membobol situs web Anda dan sistem lain yang terhubung ke internet dan menguncinya. Atau terima kenyataan bahwa situs Anda mungkin menjadi korban berikutnya yang akan kami tulis sebagai peringatan bagi orang lain. ®
