Wah, Industri kesehatan diincar dedemit maya

ilustrasi

JAKARTA (IndoTelko) - Symantec Security Response mengungkapkan kelompok pengancam misterius menyerang perusahaan dengan menggunakan key generator yang berbahaya untuk software bajakan.

Kelompok di balik serangan Trojan Gatak (Trojan.Gatak) terus menyerukan ancaman kepada  perusahaan-perusahaan, terutama kepada industri kesehatan yang sangat terkena dampak serangan.

Gatak diketahui menginfeksi korbannya melalui situs-situs yang menjanjikan licensing key produk untuk software bajakan. Meskipun kelompok tersebut menargetkan pasar Amerika, kelompok itu berekspansi selama dua tahun terakhir dan kini serangannya terjadi pada perusahaan-perusahaan di berbagai negara.

Sebagian besar infeksi Gatak (62 persen) terjadi pada komputer-komputer perusahaan. Analisis serangan terbaru ke perusahaan menunjukkan bahwa sektor kesehatan adalah sektor  yang paling terkena dampak serangan Gatak.

Dari 20 perusahaan teratas yang paling terpengaruh (perusahaan dengan komputer yang paling banyak terinfeksi), 40% di antaranya berada di sektor kesehatan. Sebelumnya, sektor asuransi juga menjadi sasaran oleh kelompok tersebut.

Korban serangan Gatak terinfeksi melalui situs-situs yang menawarkan key generator produk atau “keygen” untuk software bajakan. Malware tersebut dibundel dengan key produk tersebut dan, jika korban tersebut tertipu untuk mengunduh dan membuka salah satu file itu, malware tersebut secara diam-diam terinstal dalam komputer mereka.

Dalam keterangannya dinyatakan, para penyerang sepertinya fokus untuk menawarkan key produk untuk software yang lebih sering digunakan di lingkungan profesional. Situs-situs yang digunakan dalam serangan tersebut dikendalikan oleh para penyerang dan tidak memiliki keterkaitan dengan para pengembang software tersebut.

Tidak ada versi software asli yang terserang. Beberapa merek software yang digunakan sebagai umpan antara lain:
• SketchList3D (software desain produksi kayu)

• Native Instruments Drumlab (software sound engineering)

• BobCAD-CAM (software manufaktur/produksi logam)

• BarTender Enterprise Automation (software pembuat label dan barcode)

• HDClone (hard disk cloning utility)

• Siemans SIMATIC STEP 7 (software otomatisasi industri)

• CadSoft Eagle Professional (software desain papan sirkuit cetak)

• PremiumSoft Navicat Premium (software administrasi database)

• Originlab Originpro (software analisis data dan grafik)

• Manctl Skanect (software pemindaian 3D)

• Symantec System Recovery (software backup dan pemulihan data; kini merupakan bagian dari Veritas)

Key produk yang diunduh dari situs-situs tersebut tidak berfungsi dan hanya menghasilkan urutan karakter yang seakan-akan acak. Hal ini berarti bahwa yang diterima para korban dari unduhan tersebut hanyalah sebuah file junk dan berpontensi mengandung infeksi Gatak.
 
Trojan Gatak (atau Stegoloader) telah digunakan dalam serangan-serangan setidaknya sejak tahun 2011. Terdapat dua komponen utama dari malware tersebut. Satu modul penyebaran ringan (Trojan.Gatak.B) dapat melakukan sistem sidik jari secara rinci pada komputer-komputer yang terinfeksi dan secara selektif mengunduh payload tambahan. Modul utama (Trojan.Gatak) merupakan sebuah Trojan back door yang terlatih, yang melakukan serangan terus-menerus pada sebuah komputer yang terinfeksi dan mencuri informasi dari komputer tersebut.

Fitur unggulan dari Gatak adalah penggunaan steganography, yaitu sebuah teknik untuk menyembunyikan data di dalam file-file gambar. Ketika Gatak terinstal dalam sebuah komputer, Gatak berupaya untuk mengunduh suatu file gambar PNG dari salah satu URL yang tertanam (hardcoded) di dalam malware tersebut.

Gambar tersebut terlihat seperti sebuah foto biasa, namun mengandung sebuah pesan yang terenkripsi di dalam data pikselnya. Trojan Gatak mampu mendekripsikan pesan tersebut, yang mengandung perintah-perintah dan file-file untuk dieksekusi.

Pada sekitar 62% kejadian serangan, gerakan lateral di seluruh jaringan-jaringan korban terjadi dalam kurun waktu dua jam setelah terinfeksi. Pada kejadian-kejadian lainnya, gerakan lateral dimulai pada setelah dua jam.

Variasi tersebut mengindikasikan bahwa Tidak diketahui apakah penyerang tidak memiliki sumber daya untuk mengekploitasi semua infeksi dengan segera atau apakah mereka memprioritaskan beberapa infeksi.

Sedikit orang yang mengetahui bagaimana para penyerang bergerak di jaringan sebuah perusahaan. Penjelasan yang paling memungkinkan adalah bahwa mereka mengekploitasi password yang lemah dan keamanan yang buruk dalam hal berbagi file dan drive jaringan. Tidak terdapat bukti eksploitasi zero-day atau penggunaan alat peretasan canggih.

Dalam beberapa kasus, para penyerang telah menginfeksi beberapa komputer dengan malware lainnya, termasuk berbagai variasi ransomware dan Torjan keuangan Shylock (Trojan.Shylock). Pada kasus Shylock, malware ini sepertinya merupakan versi ancaman yang lebih tua dan bahkan mungkin merupakan infeksi “false flag”. Trojan tersebut mungkin digunakan oleh kelompok penyerang ini saat mereka yakin bahwa serangan mereka belum diketahui guna mengecohkan kecurigaan para penyelidik.

Tidak banyak yang diketahui tentang kelompok di balik serangan Gatak, walaupun ciri khas target serangan, yaitu perusahaan-perusahaan, serta ketiadaan kerentanan zero-day atau modul malware canggih mengindikasikan bahwa kejahatan ini murni merupakan kejahatan cyber, namun terdapat juga kemampuan-kemampuan di dalam malware tersebut untuk melakukan operasi pengintaian yang lebih tradisional.

Bagaimana cara Gatak mengambil keuntungan dari serangannya tidak jelas. Salah satu kemungkinannya adalah pencurian data, di mana penyerang menjual informasi identitas individu dan data yang dicuri lainnya di pasar gelap siber (cyberundergroundi). Hal ini dapat menjelaskan mengapa fokus utama para penyerang adalah industri kesehatan, di mana rekam medis biasanya berharga lebih mahal dibandingkan informasi pribadi yang lain.

Namun, cara penyebaran serangan Gatak melalui situs-situs keygen menunjukkan bahwa para penyerang mungkin lebih oportunis. Dengan menggunakan sebuah pendekatan watering-hole, para penyerang memainkan sebuah peran yang benar-benar pasif, dengan kontrol yang sangat sedikit terhadap yang terinfeksi. Jika benar demikian, sektor kesehatan mungkin adalah sektor yang paling rentan terhadap jenis-jenis serangan seperti itu.

Industri kesehatan sering kali mendapat tekanan, kekurangan sumber daya, dan banyak menggunakan sistem software usang yang memakan biaya yang mahal jika diperbarui. Akibatnya, para pekerja cenderung akan mengambil jalan pintas dan mengunduh software bajakan. Walapun perusahaan di sektor lain terlihat jarang terinfeksi, para penyerang tersebut sepertinya tidak akan mengabaikan atau menghilangkan serangan-serangan tersebut ketika itu terjadi.

Sejak pertama kali muncul lima tahun yang lalu, kelompok Gatak telah melakukan beberapa rangkaian serangan yang stabil dan Trojan tersebut merupakan ancaman yang serius bagi perusahaan mana pun, terutama di sektor kesehatan.
Gatak memberikan sebuah peringatan yang telak bahwa penggunaan software bajakan dapat mengkompromikan keamanan, selain menyebabkan masalah hukum bagi perusahaan.

Selain menggunakan sebuah solusi keamanan yang tangguh, perusahaan harus secara rutin memeriksa software yang digunakan pada jaringan mereka dan mengedukasi para karyawan mengenai bahaya penggunaan software bajakan atau tidak resmi.(wn)