Berita Terbaru

Serangan Brute Force Ungkap Jaringan Hacker di Banyak Negara

Ilustrasi Cyber Security 15

Ilustrasi Cyber Security

Dalam dunia keamanan siber, tidak semua peringatan dianggap penting. Banyak analis keamanan setiap hari menerima ratusan bahkan ribuan notifikasi aktivitas mencurigakan dari berbagai sistem keamanan. Sebagian besar di antaranya hanyalah ancaman umum yang sudah sering terjadi, seperti percobaan login gagal berulang kali atau serangan brute force terhadap layanan yang terbuka ke internet.

Karena sering terjadi, jenis serangan ini sering dianggap sebagai aktivitas rutin yang tidak terlalu mengkhawatirkan. Namun dalam satu kasus yang dianalisis oleh tim respons insiden dari Huntress, sebuah serangan brute force yang tampak sederhana justru membuka tabir operasi ransomware yang jauh lebih besar dan kompleks.

Dari satu login yang berhasil ditembus oleh penyerang, para peneliti menemukan pola aktivitas tidak biasa, jaringan infrastruktur global yang mencurigakan, serta layanan VPN anonim yang kemungkinan digunakan oleh kelompok kriminal siber. Penemuan ini memberikan gambaran langka tentang bagaimana ekosistem ransomware modern bekerja di balik layar.

 
Awal Mula Insiden

Kasus ini bermula dari sebuah jaringan perusahaan yang memiliki server Remote Desktop Protocol (RDP) yang terbuka ke internet. RDP adalah layanan yang memungkinkan administrator atau karyawan mengakses komputer dari jarak jauh.

Meskipun sangat berguna untuk pekerjaan jarak jauh atau administrasi sistem, membuka RDP langsung ke internet juga membawa risiko besar. Banyak penyerang secara otomatis memindai internet untuk mencari server RDP yang dapat diserang.

Masalah ini sebenarnya sudah lama menjadi perhatian di dunia keamanan siber. Banyak pakar keamanan telah memperingatkan tentang bahaya membuka RDP tanpa perlindungan tambahan seperti VPN atau autentikasi multi-faktor. Namun dalam praktiknya, beberapa organisasi tetap harus membuka akses tersebut karena kebutuhan operasional.

Dalam kasus ini, tim Security Operations Center (SOC) menerima peringatan tentang aktivitas enumerasi domain, yaitu upaya untuk mengumpulkan informasi tentang struktur jaringan, akun pengguna, dan konfigurasi domain.

Peringatan tersebut memicu proses investigasi lebih lanjut.

 
Brute Force yang Terlihat Biasa

Dalam banyak laporan keamanan, serangan siber sering dijelaskan secara terstruktur mengikuti kerangka kerja seperti MITRE ATT&CK. Model ini menggambarkan tahapan serangan secara sistematis, mulai dari akses awal hingga eksekusi serangan akhir.

Namun dalam kenyataan di lapangan, analis keamanan jarang menemukan serangan yang berjalan secara rapi seperti dalam diagram.

Sering kali, analis justru menemukan aktivitas mencurigakan di tengah rangkaian serangan. Artinya, mereka harus menelusuri aktivitas tersebut ke dua arah sekaligus:

  • Ke belakang, untuk mengetahui bagaimana penyerang pertama kali masuk ke jaringan
  • Ke depan, untuk melihat apa yang dilakukan penyerang setelah mendapatkan akses

Dalam investigasi ini, analisis terhadap log peristiwa Windows menunjukkan bahwa server RDP sedang menjadi target serangan brute force, yaitu metode menebak kata sandi dengan mencoba berbagai kombinasi secara berulang.

 
Tantangan Menyelidiki Serangan Brute Force

Meskipun terdengar sederhana, investigasi brute force tidak selalu mudah dilakukan. Ada beberapa kendala yang sering dihadapi oleh tim keamanan, antara lain:

  • Log sistem yang cepat penuh
    Percobaan login yang sangat banyak dapat memenuhi log keamanan sehingga data penting tertimpa.
  • Aktivitas otomatis dari alat keamanan
    Beberapa perangkat lunak pemantauan jaringan atau pemindai kerentanan juga dapat menghasilkan login gagal yang terlihat mirip dengan serangan.
  • Konfigurasi logging yang terbatas
    Banyak sistem menggunakan pengaturan log default yang tidak menyimpan informasi detail yang cukup untuk investigasi mendalam.

Beruntung dalam kasus ini, data telemetri yang diperlukan masih tersedia. Dari analisis tersebut, tim menemukan bahwa banyak akun menjadi target brute force, tetapi hanya satu akun yang berhasil ditembus oleh penyerang.

 
Login dari Banyak Alamat IP

Akun yang berhasil diretas kemudian digunakan sebagai titik awal investigasi. Ketika tim menganalisis aktivitas login akun tersebut, mereka menemukan sesuatu yang tidak biasa. Akun tersebut digunakan untuk login dari beberapa alamat IP berbeda.

Dalam banyak kasus serangan, satu pelaku biasanya menggunakan satu atau beberapa server tertentu sebagai sumber serangan. Namun dalam kasus ini, jumlah IP yang digunakan cukup banyak.

Setelah menganalisis waktu login secara detail, tim menyimpulkan bahwa kemungkinan besar aktivitas tersebut tetap dilakukan oleh satu pelaku yang menggunakan berbagai server sebagai infrastruktur serangan.

Hal ini menunjukkan adanya jaringan server yang lebih besar yang digunakan oleh penyerang.

 
Penyerang Mulai Menjelajahi Jaringan

Setelah berhasil masuk melalui server RDP, penyerang mulai melakukan aktivitas yang umum dalam tahap awal intrusi jaringan.

Langkah pertama yang dilakukan adalah enumerasi domain, yaitu proses mengumpulkan informasi penting tentang jaringan. Aktivitas ini biasanya meliputi:

  • mengidentifikasi akun pengguna
  • memeriksa grup keamanan
  • memahami konfigurasi domain
  • memetakan struktur jaringan internal

Begitu aktivitas ini terdeteksi dan dinilai berbahaya, tim SOC segera mengambil tindakan dengan melakukan isolasi jaringan secara luas untuk mencegah penyerang bergerak ke sistem lain.

Pada titik ini, insiden tersebut tampak seperti kasus yang relatif umum: brute force berhasil, penyerang masuk ke jaringan, melakukan pemetaan jaringan, lalu dihentikan oleh tim keamanan. Namun penyelidikan selanjutnya menunjukkan bahwa kasus ini tidak sesederhana itu.

 
Aktivitas Penyerang yang Tidak Biasa

Biasanya, setelah masuk ke jaringan, penyerang akan mencoba mencuri kredensial menggunakan teknik otomatis. Metode yang sering digunakan antara lain:

  • mengekstrak data dari proses LSASS pada Windows
  • menggunakan alat seperti Mimikatz
  • memanfaatkan utilitas seperti ProcDump
  • menyalin data registry menggunakan SecretsDump

Beberapa kelompok peretas bahkan mencoba mencuri cookie browser untuk mengambil alih sesi login pengguna. Namun dalam insiden ini, penyerang justru melakukan sesuatu yang berbeda. Mereka mencari kredensial secara manual di dalam file yang ada di sistem.

 
Berburu Password di File Teks

Tim investigasi menemukan bahwa penyerang membuka banyak file teks menggunakan aplikasi Notepad. Artefak sistem seperti Jump List menunjukkan daftar file yang telah diakses sebelumnya.

Pendekatan ini cukup jarang dilakukan oleh penyerang karena prosesnya lebih lambat dan membutuhkan analisis manual. Sebagian besar pelaku kejahatan siber lebih memilih metode otomatis karena:

  • lebih cepat dijalankan
  • dapat dilakukan melalui skrip
  • tidak memerlukan analisis manual

Namun kredensial yang tersimpan di dalam file memang masih sering ditemukan dalam lingkungan perusahaan. Banyak administrator atau karyawan terkadang menyimpan informasi login di dokumen teks, catatan, atau file konfigurasi. Hal ini membuat metode pencarian manual tetap menarik bagi sebagian penyerang.

 
Mengungkap Infrastruktur Serangan

Karena aktivitas penyerang terlihat tidak biasa, tim keamanan kemudian memutuskan untuk menelusuri alamat IP yang digunakan dalam serangan brute force.

Hasil investigasi menunjukkan bahwa salah satu alamat IP tersebut pernah dikaitkan dengan operasi ransomware Hive ransomware.

Selain itu, laporan dari Cybersecurity and Infrastructure Security Agency juga mengaitkan alamat IP tersebut dengan kelompok ransomware BlackSuit ransomware. Temuan ini mendorong tim untuk melakukan analisis lebih mendalam terhadap infrastruktur yang digunakan oleh penyerang.

 
Petunjuk dari Sertifikat TLS

Tim kemudian memeriksa sertifikat TLS yang digunakan oleh server penyerang. Dari analisis tersebut, mereka menemukan sebuah domain mencurigakan:

specialsseason[.]com 

Domain ini menjadi titik awal untuk melacak infrastruktur lainnya yang mungkin terkait. Dengan menganalisis fingerprint sertifikat TLS, tim berhasil menemukan sejumlah alamat IP dan domain tambahan yang menggunakan sertifikat yang sama.

 
Jaringan Server Global

Hasil pelacakan menunjukkan adanya pola penamaan domain yang cukup jelas, misalnya:

  • NL-US.specialsseason.com
  • NL-RU.specialsseason.com

Pola tersebut menunjukkan bahwa jaringan server ini kemungkinan terdistribusi secara geografis di berbagai negara.

Beberapa server diketahui berada di wilayah seperti:

  • Amerika Serikat
  • Rusia
  • negara lain di berbagai benua

Hal ini menunjukkan bahwa penyerang kemungkinan menggunakan jaringan server global untuk menyembunyikan identitas dan memperkuat operasi mereka.

 
VPN yang Diduga Digunakan Penjahat Siber

Investigasi selanjutnya juga mengungkap domain lain yang terkait dengan infrastruktur tersebut, yaitu:

1vpns[.]com 

Nama domain ini sangat mirip dengan situs VPN yang sah, yaitu 1vpn.org. Perbedaannya hanya terletak pada tambahan huruf “s”.

Kemiripan ini menimbulkan dugaan bahwa domain tersebut mungkin digunakan sebagai layanan VPN khusus yang dirancang untuk aktivitas ilegal. Beberapa laporan intelijen ancaman bahkan mengaitkan layanan VPN ini dengan beberapa kelompok ransomware yang berbeda.

 
Infrastruktur Anonim untuk Kejahatan Siber

Selain layanan VPN, domain tersebut juga mempromosikan layanan komunikasi lain seperti 1jabber[.]com .

Salah satu layanan yang disebut adalah nologs[.]club, yang mengklaim tidak menyimpan log aktivitas pengguna.

Bagi pelaku kejahatan siber, layanan seperti ini sangat menarik karena memberikan beberapa keuntungan:

  • aktivitas sulit dilacak oleh penegak hukum
  • identitas pengguna lebih terlindungi
  • operasi kriminal dapat dilakukan dengan tingkat anonimitas tinggi
     

Melihat Ekosistem Ransomware dari Dekat

Kasus ini memberikan gambaran nyata tentang bagaimana ekosistem ransomware modern bekerja.

Biasanya, kita hanya melihat serangan ransomware dari sisi teknik atau taktik serangan. Namun investigasi ini menunjukkan bagaimana berbagai komponen bekerja bersama dalam satu ekosistem.

Komponen tersebut meliputi:

  • server infrastruktur yang tersebar di berbagai negara
  • layanan VPN anonim
  • jaringan domain yang saling terhubung
  • broker akses awal yang menjual akses ke jaringan korban

Hal ini menunjukkan bahwa ransomware modern sering kali merupakan operasi terorganisir yang melibatkan banyak pihak.

 
Pentingnya Melihat Gambaran Besar

Kasus ini juga memberikan pelajaran penting bagi tim keamanan siber. Serangan yang tampak kecil atau rutin terkadang bisa menjadi petunjuk untuk mengungkap operasi yang jauh lebih besar.

Karena itu, analis keamanan tidak hanya perlu merespons insiden secara cepat, tetapi juga perlu sesekali “melihat gambaran yang lebih luas” dari data yang tersedia. Dalam banyak kasus, investigasi mendalam tidak dapat dilakukan karena keterbatasan log atau data telemetri. Namun dalam insiden ini, satu potongan kecil bukti berhasil membuka jaringan infrastruktur ransomware yang cukup besar.

 
Kesimpulan

Serangan ransomware terus menjadi ancaman serius bagi organisasi di seluruh dunia, baik perusahaan kecil maupun besar.

Teknik brute force sendiri sebenarnya bukan metode baru. Serangan ini telah digunakan selama bertahun-tahun dan sering dianggap sebagai ancaman dasar dalam keamanan siber.

Namun kasus yang diteliti oleh tim Huntress menunjukkan bahwa bahkan serangan yang terlihat sederhana pun bisa menjadi pintu masuk untuk mengungkap operasi kriminal yang jauh lebih kompleks.

Dari satu login yang berhasil ditembus, investigasi akhirnya membuka jejak jaringan infrastruktur global yang diduga mendukung operasi ransomware-as-a-service serta aktivitas para initial access broker yang menjual akses ke jaringan korban.

Kasus ini menjadi pengingat bahwa dalam dunia keamanan siber, terkadang petunjuk kecil dapat mengarah pada temuan yang sangat besar.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait